Daten ohne Schutz: Gläserne Belegschaften? Gläserne Betriebe ...
Daten ohne Schutz: Gläserne Belegschaften? Gläserne Betriebe ...
Daten ohne Schutz: Gläserne Belegschaften? Gläserne Betriebe ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
5. dtb-Forum für Arbeitnehmervertreter 2010<br />
<strong>Daten</strong> <strong>ohne</strong> <strong>Schutz</strong>:<br />
Gläserne <strong>Belegschaften</strong>?<br />
Gläserne <strong>Betriebe</strong>!<br />
Neue Technik, neues Recht – der Aufbruch in eine neue<br />
Dimension jetzt auch im Arbeitnehmerdatenschutz?<br />
9.–11. November 2010 in Kassel<br />
Gerhart Baum Wolfgang Däubler Thilo Weichert Ulrike Schramm-<br />
De Robertis<br />
Thomas Hoeren Thomas Leif
5. dtb-Forum für Arbeitnehmervertreter 2010<br />
<strong>Daten</strong> <strong>ohne</strong> <strong>Schutz</strong>:<br />
Gläserne <strong>Belegschaften</strong>?<br />
Gläserne <strong>Betriebe</strong>!<br />
Neue Technik, neues Recht – der Aufbruch in eine neue<br />
Dimension jetzt auch im Arbeitnehmerdatenschutz?<br />
9.–11. November 2010 in Kassel
Inhaltsverzeichnis<br />
Interview<br />
mit Ulrike Schramm-de Robertis .................................................................................................................................. 4<br />
Thilo Weichert:<br />
Freiheit statt Angst – Arbeitnehmerdatenschutz – Klarheit für Unternehmen und Beschäftigte ......... 6<br />
Thilo Weichert:<br />
Stellungnahme des Unabhängigen Landeszentrums für <strong>Daten</strong>schutz Schleswig-Holstein<br />
zum Gesetzesentwurf der Bundesregierung zur Regelung des Beschäftigtendatenschutzes ................... 18<br />
Gerrit Wiegand, Jens Mösinger:<br />
Der Chef surft mit ............................................................................................................................................................. 29<br />
Marie-Theres Tinnefeld · Thomas Petri · Stefan Brink:<br />
Aktuelle Fragen um ein Beschäftigtendatenschutzgesetz ................................................................................. 51<br />
Dr. Eberhard Kiesche · Matthias Wilke<br />
Gemeinsam handeln! Zur Zusammenarbeit von <strong>Daten</strong>schutzbeauftragtem und Betriebsrat .............. 60<br />
Dr. Eberhard Kiesche · Matthias Wilke<br />
SAP-Vereinbarungen am system überprüfen .......................................................................................................... 63<br />
Dr. Eberhard Kiesche · Matthias Wilke<br />
<strong>Daten</strong>schutz durch <strong>Daten</strong>vermeidung und <strong>Daten</strong>sparsamkeit<br />
Die neuen Regelungen im Bundesdatenschutzgesetz ........................................................................................ 69<br />
Dr. Eberhard Kiesche · Matthias Wilke<br />
Der <strong>Daten</strong>schutz-Leitfaden SAP ERP 6.O ................................................................................................................... 77<br />
Gesetzentwurf der Bundesregierung<br />
Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes ....................................................... 78<br />
Stellungnahme des DGB<br />
zum Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes ............................................. 132<br />
Stellungnahme des BDA<br />
zum Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes ............................................. 132<br />
Stellungnahme des Deutschen Richterbundes<br />
zum Referentenentwurf des Bundesministeriums für Arbeit und Soziales ................................................. 152<br />
Bundesdatenschutzgesetz (BDSG) 2009 ............................................................................................................................... 155<br />
3
Interview<br />
FRAGE Frau Schramm-de Robertis, es gibt kaum<br />
Betriebsräte bei Lidl, vielmehr hat das Unternehmen<br />
den Ruf, die Gründung von Betriebsräten systematisch<br />
zu verhindern. Sie sind Betriebsrätin und gleichzeitig<br />
Filialleiterin. Wie haben Sie das geschaff t?<br />
ANTWORT Alle 17 Mitarbeiter in der Filiale haben<br />
zusammengehalten und sich solidarisiert, obwohl<br />
wir wussten, was auf uns zukommen kann – nämlich<br />
dass wir alle entlassen werden können. Wir haben uns<br />
aber entschlossen, dass wir nicht mehr unter diesen<br />
Arbeitsbedingungen arbeiten. Ich habe zu meinen<br />
Mitarbeiterinnen gesagt, wir können nicht immer<br />
davonlaufen, wir müssen versuchen, die Situation<br />
an unserem Arbeitsplatz zu ändern. Weil wir hart<br />
geblieben sind, hatte Lidl gar keine andere Wahl als<br />
einzulenken. Schließlich haben wir nur unsere Rechte<br />
wahrgenommen.<br />
FRAGE Hat sich Lidl damit abgefunden oder wurden Sie<br />
in Ihrer Arbeit als Betriebsrätin behindert?<br />
ANTWORT Im Großen und Ganzen funktioniert die<br />
Zusammenarbeit heute gut. Man sucht auch das Gespräch<br />
mit mir. Also ich war noch nicht auf dem Arbeitsgericht<br />
und musste noch kein Beschlussverfahren beantragen.<br />
Ganz am Anfang haben sich meine Vorgesetzten aber<br />
schwer getan, manchmal ist das auch heute noch der Fall.<br />
Denn gibt hin und wieder Entscheidungen, die sie alleine<br />
treff en, obwohl ich Mitspracherechte hätte. Aber das sage<br />
ich ihnen dann. Ich habe keine Angst mehr.<br />
FRAGE Was hat sich dadurch für Sie und Ihre Kolleginnen<br />
in der Filiale geändert?<br />
ANTWORT Dass das Arbeitsgesetz eingehalten wird. Elf<br />
Stunden Ruhepause, keine Schikanen mehr, sondern ein<br />
normaler Umgangston, keine Arbeit mehr auf Abruf, und<br />
dass Überstunden bezahlt werden. Das Wichtigste für uns<br />
war, dass wir <strong>ohne</strong> Angst arbeiten konnten.<br />
FRAGE Lidl ist seit Jahren wegen Missachtung von<br />
Arbeitnehmerrechten und Willkür von Vorgesetzten in der<br />
Kritik. Sie schreiben in Ihrem Buch, dass Sie Lidl früher jede<br />
Sauerei zugetraut haben. Gilt das immer noch?<br />
ANTWORT Nein. Meiner Meinung nach kann sich Lidl<br />
das nicht mehr erlauben, denn der Discounter ist so oft<br />
in der Öff entlichkeit und muss auch wettbewerbsfähig<br />
bleiben. Ich habe den Arbeitgeber drauf aufmerksam<br />
gemacht: So geht man nicht mit den Mitarbeitern um. Das<br />
ist doch nichts Schlimmes. Es kümmert sich ja niemand um<br />
Missstände, es geht immer nur um Gewinn und Umsatz.<br />
4<br />
Das war das Manko bei Lidl. Dabei sind die Mitarbeiter<br />
doch das Herzstück.<br />
FRAGE Das Unternehmen hat schon lange einen<br />
schlechten Ruf und der Skandal um Krankheitsdaten und<br />
die Spitzelaff äre haben noch mehr geschadet. Warum<br />
haben Sie sich bei Lidl beworben und arbeiten immer<br />
noch dort?<br />
ANTWORT Ich war bei Kik und wollte mich verbessern<br />
und wurde über den Tisch gezogen. Man fi ndet ja selten<br />
Familienbetriebe, wo man als Filialleiterin arbeiten<br />
kann, denn Konzerne und Discounter beherrschen den<br />
Einzelhandel. Ich kam durch meine Freundin zu Lidl, die<br />
sagte: „Du musst zwar auch wieder Überstunden machen,<br />
aber die zahlen wenigstens Tarifl ohn.“ Den hatte ich bei<br />
Kik nicht.<br />
FRAGE Lidl hat kurz vor Erscheinen Ihres Buches Ende<br />
Februar einen Vorstoß in Sachen Mindestlohn gemacht.<br />
Glauben Sie, dass das ein Ablenkungsmanöver war, oder<br />
würde Lidl von einem Mindestlohn profi tieren?<br />
ANTWORT Lidl zahlt Tarifl öhne, die höher liegen als<br />
ein Mindestlohn. Ich denke das war ein Vorstoß, um das<br />
Lohndumping zu unterbinden. Tarifl ohn ist super, aber es<br />
kommt darauf an, ob man auch die tarifl ich festgelegte<br />
Arbeitzeit arbeitet oder mehr.<br />
FRAGE Mit einem Korruptionsexperten will Lidl<br />
nun für mehr Off enheit im Unternehmen sorgen.<br />
Alle Mitarbeiter in Deutschland können sich an einen<br />
ehemaligen Staatsanwalt wenden, wenn sie Hinweise<br />
auf Unregelmäßigkeiten oder Korruption haben. Ist das<br />
nur ein Feigenblatt in Sachen Image oder bringt das Ihrer<br />
Meinung nach was?<br />
ANTWORT Das Schreiben habe ich auch bekommen.<br />
Ich als Betriebsrat habe es für unsere Filiale abgelehnt,<br />
dass sich die Mitarbeiter an diesen Korruptionsexperten<br />
wenden, weil ich damit die Ordnung im Betrieb<br />
gefährdet sehe. Ich sehe darin nämlich eine Bespitzelung<br />
untereinander. Jeder bespitzelt jeden, und wir brauchen<br />
wir keine Kameras mehr. Ich will mal ein Beispiel nennen:<br />
Jemand kann den anderen nicht leiden und schwärzt<br />
ihn dann bei dem Korruptionsexperten an, nach dem<br />
Motto, da nimmt einer immer irgendwelche Unterlagen<br />
mit. Für mich ist das ein Desaster, denn jeder kann jeden<br />
anschwärzen und damit ist das Misstrauen noch größer –<br />
auch wenn es von Lidl gut gemeint sein mag.<br />
FRAGE Wurden Sie in Ihrer Filiale auch überwacht?
ANTWORT Nein. Wir hatten ja einen Betriebsrat und<br />
damit Mitbestimmungsrecht. Wir haben die Kameras<br />
abgelehnt und wegen möglicher Inventurdiff erenzen auf<br />
andere Methoden gesetzt.<br />
FRAGE Die Gewerkschaft Verdi hat schon vor Jahren<br />
das Schwarzbuch Lidl herausgegeben – Motto: Billig auf<br />
Kosten der Beschäftigten. Ist das heute noch so?<br />
ANTWORT Zur Zeit nicht. Lidl hat sich gebessert, der<br />
Umgangston hat sich verändert. Man versucht auch, fair<br />
miteinander umzugehen. Davon profi tieren alle.<br />
FRAGE Was müsste Lidl tun, um das Image aufzupolieren?<br />
ANTWORT Wie gesagt, man versucht fair mit den<br />
Mitarbeitern umzugehen. Für mich ist aber entscheidend,<br />
ob das langfristig gelingt, also nachhaltig ist. Es gibt<br />
keine unabhängige Institution bei Lidl. Bei langjährigen<br />
Mitarbeitern kann ich mir es noch vorstellen, denn Sie<br />
haben die schlimmen<br />
Arbeitsbedingungen mitgemacht, wenn man etwas sagt,<br />
hat man mehr Probleme als vorher. Der Vorteil in unserer<br />
Filiale ist, dass wir einen Betriebsrat haben. Die Mitarbeiter<br />
haben Vertrauen, kommen zu mir und ich muss reagieren<br />
und helfen. Ich nehme dafür gerne einen Vergleich: Die<br />
Feuerwehr ist eine ständige Einrichtung – und nicht nur,<br />
wenn es brennt. So sollte es auch im Betrieb sein – es sollte<br />
eine ständige Einrichtung geben, an die sich Mitarbeiter<br />
<strong>ohne</strong> Angst wenden können. Die Möglichkeit dazu gibt es,<br />
indem Betriebsräte gewählt werden.<br />
FRAGE Die sind aber rar. Sie sind eine von weniger als<br />
zehn Betriebsräten in über 3500 Lidl-Filialen. Bald sind<br />
Betriebsratswahlen. Glauben Sie, dass ein Ruck durch die<br />
Belegschaft geht und es bei Lidl bald mehr Betriebsräte gibt?<br />
ANTWORT Nein. Wir wenigen Betriebsräte haben<br />
eigentlich dafür gesorgt, dass es besser wird im<br />
Unternehmen – durch unsere Gründungen und die<br />
Aufmerksamkeit, die wir erreichten. Lidl hat darauf reagiert.<br />
Offi ziell heißt es bei Lidl, dass Betriebsräte gegründet<br />
werden können und jeder wählen kann. Bei den ersten<br />
Betriebsräten gab es aber Repressalien. Manche fragten<br />
sich daraufhin, warum sollte man sich das jetzt antun.<br />
FRAGE Wenn Sie auf ihr Berufsleben zurückblicken<br />
– einschließlich der Zeit bei Kik und Plus – was war die<br />
schlimmste Erfahrung?<br />
ANTWORT Dass man einen Menschen ganz<br />
runterziehen kann, sein Selbstwertgefühl zerstören,<br />
ihm die Würde nehmen. Und das wurde bei mir bei Lidl<br />
gemacht und auch bei meinen Mitarbeitern. Und das<br />
Schlimme war, dass man als Chefi n nicht helfen konnte,<br />
wenn einer gedemütigt wurde.<br />
FRAGE Woher haben Sie die Kraft genommen, sich zu<br />
wehren und für den Betriebsrat zu kandidieren?<br />
ANTWORT Die Kraft habe ich aus meinen Kindern<br />
geschöpft. Ich habe fünf Kinder zu ernähren und musste<br />
arbeiten. Ich war an einem Punkt angelangt, an dem ich<br />
gesagt habe, es geht nicht mehr. Man kann nur versuchen,<br />
die Situation zu ändern, dass wir nicht mehr gedemütigt<br />
und Gesetze eingehalten werden.<br />
FRAGE Gibt es auch Positives?<br />
ANTWORT Wir sind das gallische Dorf. So werden<br />
wir teilweise behandelt. Es haben sich schon mehrere<br />
Mitarbeiter für höhere Positionen oder für andere Märkte<br />
beworben. Von der Regionalgesellschaft gab es dann aber<br />
immer wieder komische Ausreden. Ich denke daher man<br />
hat Angst, dass eine von uns die Mitarbeiter in der neuen<br />
Filiale dazu bewegen könnte, auch einen Betriebsrat zu<br />
wählen.<br />
FRAGE Aber im Alltag lebt es sich ganz gut im gallischen<br />
Dorf - oder?<br />
ANTWORT Ja, aber das haben wir erreicht, weil wir<br />
uns getraut haben, Rechte, die uns zustehen, von Lidl<br />
einzufordern. Wir arbeiten gerne bei Lidl, aber wir möchten<br />
auch von den nächsten Vorgesetzten als Mensch und<br />
Mitarbeiter behandelt werden und nicht als Sklaven – so<br />
wurden wir ja teilweise gehalten.<br />
aus: Stuttgarter Nachrichter, Juni 2010<br />
5
6<br />
����������������������<br />
������������������������� �������������<br />
����������������������������<br />
��������������<br />
�����������������������������������<br />
����������������������������������<br />
������������ ������������������������������<br />
�������������������������������������������<br />
������������������<br />
������������������������<br />
www.datenschutzzentrum.de<br />
� ������������������������������������������<br />
� �������������������<br />
� �������������������������<br />
� ��������������������������������������<br />
��������������������������<br />
� ����������������<br />
� �������������������� ������������������<br />
������������������<br />
� �����������������<br />
� ������������<br />
������<br />
����������� ���������� ����������������������� ����� �
www.datenschutzzentrum.de<br />
�������������������������������<br />
�����������<br />
Kontrolle Beratung Ausbildung<br />
inkl.<br />
DATEN-<br />
SCHUTZ-<br />
AKADEMIE<br />
Primäre<br />
Adressaten:<br />
Verwaltung<br />
Wirtschaft<br />
Bürger<br />
IT-Labor Modell-<br />
Projekte<br />
Gütesiegel Audit<br />
����������� ���������� ����������������������� ����� �<br />
www.datenschutzzentrum.de<br />
Wirtschaft,<br />
Wissenschaft,<br />
Verwaltung<br />
�����������������������������<br />
� ����������������������������<br />
� ������������������������������������������<br />
� ������������������������������������������������������<br />
�����������<br />
� �����������������������������������������<br />
� �������������������������������������<br />
� ���������������������������<br />
� �����������������������������<br />
� ��������������������������������������������������<br />
� ������������������������������������������������������<br />
� ����������������������������������������������<br />
����������� ���������� ����������������������� ����� �<br />
7
8<br />
www.datenschutzzentrum.de<br />
������������������������<br />
� ����������������������������������������<br />
� ���������������������������������������������<br />
���������������������<br />
� ��������������������������������<br />
� ��������������������������������������<br />
� �������������������������������������������<br />
���������������������������������������������<br />
� ���������������������������������������������������<br />
� ����� ��������������<br />
� ������� ���������������������<br />
� ������� �����������������<br />
� ����������������������������������������������<br />
����������� ���������� ����������������������� ����� �<br />
www.datenschutzzentrum.de<br />
�������������������������������������������<br />
������������������������������������������������������<br />
������������������������������������������������<br />
�������������������������������������������������<br />
������������������������������������������<br />
�������������������� � ������������������������<br />
��������������������������������������������������<br />
�������������������������������������������������������<br />
����������������������������������������<br />
����������������������������������������������������<br />
��������������������������������������������<br />
�����������������������������<br />
����������� ���������� ����������������������� ����� �
www.datenschutzzentrum.de<br />
���������������������������������������<br />
����������������������������������������������������������<br />
�������������������������������������������������<br />
����������������������������������������������������<br />
�������������������������������� ���������������<br />
�������������������������������������������������������������<br />
������������������������������������������������������<br />
��������������������������������������������������<br />
��������������������������������������������������������<br />
���������������������������������������������������<br />
��������������������������������������������������������<br />
������������������������������������������������<br />
�����������������������������������������������������������<br />
������������������������������������������<br />
����������������������<br />
����������� ���������� ����������������������� ����� �<br />
www.datenschutzzentrum.de<br />
������ ���������������������������������<br />
�������������������������������������� �������������������<br />
��������������������������������������������������<br />
�������������<br />
���������������������������������������������������������������<br />
����������������������������������������������������<br />
���������������������������� �������������������������<br />
���������������������������������������������������������<br />
���������������������������������������������������������<br />
����������������������������������������������������<br />
��������������������������<br />
����������� ���������� ����������������������� ����� �<br />
9
10<br />
www.datenschutzzentrum.de<br />
�������������������������������<br />
� �����������������������������������������<br />
� ����������������������������������������<br />
���������������<br />
� ����������������������������������������������������<br />
� ������������������������������������������� ����������<br />
� ������������������������������<br />
� ��������� �������<br />
� ����������������������������<br />
� �������������������������������<br />
��������������������������<br />
����������� ���������� ����������������������� ����� �<br />
www.datenschutzzentrum.de<br />
�������������������������<br />
� ���������������������������������� ����������������������<br />
����������������������������������������������������������<br />
������������������������������������������������<br />
� ����������������������������������������������������<br />
�������������������������������������������������������<br />
�������������������������������������������������������<br />
���������������������������������������������������<br />
������ ������������������������� �������������������������<br />
����������������������������������������������������������<br />
��������������������������������������������������������<br />
������������������������������������������������<br />
�������������������������������������������������������<br />
����� ��������������������������������������<br />
����������� ���������� ����������������������� ����� ��
www.datenschutzzentrum.de<br />
�������������������<br />
� ���������������������������������<br />
� ������������������<br />
� ����������������������������������������<br />
� �������������������� ��������� ����������������������<br />
� ������������������������������ �����<br />
� ������������������� ���������� � �����������<br />
� �������������� �������<br />
� ������������������� ������������������ �����<br />
����������� ���������� ����������������������� ����� ��<br />
www.datenschutzzentrum.de<br />
���������������������������������������<br />
� � ��������������������������������������������������������<br />
�����������������������������������������<br />
� � ����������������������������������������������������<br />
������������������������������������<br />
� � ��������������������������������������������������<br />
�������������������������<br />
� � ��������������������������������������������������������<br />
����������������������������������������<br />
����������� ���������� ����������������������� ����� ��<br />
11
12<br />
www.datenschutzzentrum.de<br />
��������������<br />
� ����������������������������������������������������<br />
����������������������� ������������������������������<br />
����������������������������������������<br />
� ���������������������������������������<br />
��������������������������������������������������������<br />
�������<br />
� ������������������������������������������������������<br />
���������������������������������������������������<br />
������<br />
� �������������������������������������������������<br />
�������������������������������������������������������<br />
��������������������������������������������<br />
����������� ���������� ����������������������� ����� ��<br />
www.datenschutzzentrum.de<br />
��������<br />
������������������������������������������������������������������������������������<br />
��� �����������������������������������������������������������������<br />
��������������������������� ����������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������<br />
����������������������������������������������� ������������������������������<br />
�������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������<br />
���������������������������������������������������� ���������������������������������<br />
�����������������������<br />
����������������������������������������������������������������������������������������<br />
�������������������� ���������������������� �����������������������������������������<br />
�������������������������������������������������������������������������������������<br />
�����������������������������������<br />
����������������������������������������������������� ��������������������������<br />
����������<br />
����������� ���������� ����������������������� ����� ��
www.datenschutzzentrum.de<br />
��������������������������������������<br />
� �������������������������������������������������������<br />
�������������������<br />
� ����������������������������������������������������<br />
�����������������������������������������������������<br />
���������������������������<br />
� ������������������������������ ������������������������<br />
������<br />
� ��������������������������������������������������<br />
����������� ���������� ����������������������� ����� ��<br />
www.datenschutzzentrum.de<br />
���������������������������������������<br />
���������������� �<br />
���������������������������������������������� ����������������<br />
����������������������������������������������������������������������<br />
������������������������������������ �������������<br />
�����������������������������������������������������������������������<br />
������������������� ������������<br />
����������������������������������������� �������������������<br />
����������������������������������������������� ������������<br />
������������������������������������������������������ �������������<br />
������������������������������������������������ �� ����������<br />
����������������������������������������������������������������������<br />
��������������������������������������������� �������������<br />
����������� ���������� ����������������������� ����� ��<br />
13
14<br />
www.datenschutzzentrum.de<br />
���������������������������������������<br />
���������������� ��<br />
����������������������������������������������������������<br />
������������������������������ ��������<br />
���������������������������������������������������<br />
����������������������� �����������������������<br />
�����������������������������������������������������������<br />
�����������������<br />
������������������������������������������� ����������<br />
���������������� �������������<br />
���������� �� ��������<br />
�������������������������������� ��������<br />
� ������������������������������������������������������<br />
��������������<br />
����������� ���������� ����������������������� ����� ��<br />
www.datenschutzzentrum.de<br />
������������������ ���������<br />
������������������������������������������<br />
�������������������������������������������<br />
���������������������������������������<br />
��������������������������������������������� �����������<br />
����������������������������������������������������������<br />
�������������������<br />
�������������������������������������������������������<br />
���������������������<br />
����������������������������������������������������<br />
������������������������������������������������<br />
������������������������������������������������������<br />
����������� ���������� ����������������������� ����� ��
www.datenschutzzentrum.de<br />
������������������ ��������������<br />
�����������������������������������������������������������<br />
���������������������������������������������������<br />
������������������������ ����������������������������������<br />
��������<br />
����������������������������������������������������������<br />
��������������������������������������������<br />
���������������������������������������������������<br />
������������������������������������������������������<br />
���������������������������������������������������<br />
���������������������������������<br />
�������������������������������������������������������������<br />
�������������������������������<br />
����������� ���������� ����������������������� ����� ��<br />
www.datenschutzzentrum.de<br />
������������������ ���������������<br />
��������������������� ����������������������������������<br />
�������������������������� �������������������������<br />
��������������������������������������������������������<br />
�����������������������������������<br />
�������������������������������������������������������<br />
������������������������������������������������������������<br />
������������������������������������������������������<br />
���������������������������<br />
����������������������������������������������������� �����<br />
������������������� ��������������������������������������<br />
���������� �����������������������������������������������<br />
�������������������������������������������<br />
����������� ���������� ����������������������� ����� ��<br />
15
16<br />
www.datenschutzzentrum.de<br />
����������� ����������������������������<br />
� ������������������������������������������������������<br />
� �������������������������������<br />
� �����������������������������������������<br />
� ����������������������������������������������<br />
���������������<br />
� �����������������������������������������������������������<br />
��������������������������� ��������<br />
� �������������������������������������������<br />
� �������������������������������<br />
����������� ���������� ����������������������� ����� ��<br />
www.datenschutzzentrum.de<br />
� ��������������� ���������������<br />
���������������������������<br />
� �����������������������������������������<br />
� ����������������������������� �� ��������������������<br />
�������������������������������������������������� ���<br />
������� ����������<br />
� ���������������������������������������������<br />
������������������������ ����������������������<br />
�����������������������������������������������������<br />
����������� ���������� ����������������������� ����� ��
www.datenschutzzentrum.de<br />
���������������������� �������������������������<br />
�����������������������������������������<br />
������������������<br />
�����������������������������������������������������<br />
��������������<br />
��������������������������<br />
��������������������������<br />
���������������������������������<br />
����������� ���������� ����������������������� ����� ��<br />
17
18<br />
Stellungnahme des Unabhängigen<br />
Landeszentrums für <strong>Daten</strong>schutz<br />
Schleswig-Holstein<br />
zum Gesetzesentwurf der<br />
Bundesregierung<br />
zur Regelung des<br />
Beschäftigtendatenschutzes<br />
(BR-Drs. 535/10), Stand 12.10.2010<br />
Der durch die Bundesregierung vorgelegte Entwurf eines<br />
Beschäftigtendatenschutzgesetzes als Teil des Bundesdatenschutzgesetzes weist<br />
neben handwerklichen Fehlern gravierende inhaltliche Defizite auf. Es verstößt in<br />
einzelnen Regelungen gegen europarechtliche und gegen verfassungsrechtliche<br />
Vorgaben. Er geht auf die Absichtserklärung des Koalitionsvertrages auf<br />
Bundesebene von CDU, CSU und FDP vom Herbst 2009 zurück, wo es heißt: "Wir<br />
setzen uns für eine Verbesserung des Arbeitnehmerdatenschutzes ein und wollen<br />
Mitarbeiterinnen und Mitarbeiter vor Bespitzelungen an ihrem Arbeitsplatz wirksam<br />
schützen." Diese politische Absichtserklärung, die abgegeben wurde angesichts<br />
einer Vielzahl von <strong>Daten</strong>schutzskandalen im Arbeitsbereich in den Jahren 2008 und<br />
2009, wird mit dem Entwurf leider nicht erreicht. Der Entwurf zielt darauf ab,<br />
Arbeitgebern umfangreiche Eingriffsrechte in die Persönlichkeits- und Freiheitsrechte<br />
der Beschäftigten an die Hand zu geben. Diese führen teilweise zu einer<br />
Legalisierung der in der Vergangenheit als Skandale bekanntgewordenen Praktiken,<br />
also von bisher eindeutig rechtswidrigen und von der öffentlichen Meinung<br />
abgelehnten Kontrollmaßnahmen durch Arbeitgeber.<br />
Mit dem Beschäftigtendatenschutzrecht wird eine spezifische Form des<br />
Arbeitsrechtes normiert. Dem Entwurf gelingt es leider nicht, das <strong>Daten</strong>schutzrecht<br />
und das individuelle wie das kollektive Arbeitsrecht wirksam zusammenzuführen.<br />
Tatsächlich gibt es regelungsbedürftige Gemengelagen, z. B. hinsichtlich von<br />
Verwertungsverboten, kollektiver Regelungs- oder auch Klagemöglichkeiten oder<br />
Transparenzanforderungen.<br />
Der Gesetzesentwurf ist von einem grundsätzlichen Argwohn von Arbeitgebern<br />
gegenüber ihren Beschäftigten geprägt. Das für eine nachhaltige<br />
Beschäftigungsbeziehung erforderliche Vertrauen zwischen den Beteiligten wird<br />
dadurch nicht gefördert. Der Entwurf legalisiert – oft unter Missachtung des<br />
Verhältnismäßigkeitsgrundsatzes – die Überwachung und Kontrolle von<br />
Beschäftigten durch Arbeitgeber. Er kann damit dazu beitragen, eine Atmosphäre<br />
des Misstrauens zu schüren.<br />
Der Entwurf zur Regulierung des Beschäftigtendatenschutzes wählt, anders als<br />
bisher regelmäßig vorgeschlagen, eine Normierung im
Bundesdatenschutzgesetzes. Zwar wird dadurch klar gestellt, dass neben diesen<br />
speziellen Normen auch Regelungen des allgemeinen <strong>Daten</strong>schutzes anwendbar<br />
bleiben. Dieser eher unbedeutende Vorteil wird aber mit einer Vielzahl von<br />
Nachteilen erkauft: Ein separates Beschäftigtendatenschutzgesetz wäre gegenüber<br />
Arbeitgebern und Arbeitnehmern leichter vermittelbar; eine Regulierung im BDSG (§§<br />
32 bis 32l) erleichtert weder die Vermittlung in der Praxis noch deren Anwendung<br />
(z. B. als Aushang für Arbeitnehmerinnen und Arbeitnehmer). Die Aufnahme von<br />
Spezialmaterien ins BDSG führt zu einer zunehmenden Unübersichtlichkeit und<br />
Unverständlichkeit des Gesamtgesetzes.<br />
Der Gesetzesentwurf lässt ein zentrales und in der Praxis zunehmendes Problem<br />
bewusst ungeregelt (siehe Begründung S. 1): die Übermittlung von<br />
Beschäftigtendaten innerhalb eines Konzerns und im internationalen Kontext. Die<br />
aufsichtsbehördliche Praxis zeigt, dass gerade insofern bei den Unternehmen, im<br />
Mittelstand wie in der Großindustrie, große Unsicherheit herrscht. Es ist<br />
wünschenswert, diese Rechtsunsicherheit zu beenden. Befugnisse zur<br />
<strong>Daten</strong>übermittlung in Konzernen sollten nicht generell im <strong>Daten</strong>schutzrecht<br />
eingeräumt werden, sondern spezifisch, z.B. bzgl. der <strong>Daten</strong> von Beschäftigten,<br />
denen die Konzerneingebundenheit ihres Unternehmens regelmäßig transparent ist.<br />
Der Entwurf lässt viele weitere u. E. regelungsbedürftige Fragen ungeregelt, so<br />
z. B. die Zulassung von kollektivrechtlichen Klagemöglichkeiten, die Durchführung<br />
von Tele- bzw. Heimarbeit, die private Nutzung von<br />
Telekommunikationseinrichtungen oder ein strukturiertes Verfahren des<br />
Whistleblowing. Bei den meisten der genannten Themen geht es um eine Klärung<br />
und Verbesserung der Rechtslage für alle Beteiligten, also Arbeitnehmer- wie<br />
Arbeitgeberschaft.<br />
Rechtlich unklar ist, inwieweit der Entwurf Arbeitnehmer im öffentlichen Dienst<br />
von Ländern und Kommunen erfassen soll.<br />
Der Entwurf soll Gegenstand der Beratungen des Ausschusses für Innere<br />
Angelegenheiten des Bundesrates voraussichtlich Ende Oktober sein. Das<br />
Unabhängige Landeszentrum für <strong>Daten</strong>schutz Schleswig-Holstein (ULD) schlägt<br />
Änderungen des Gesetzesentwurfes vor. Diese werden im Folgenden dargestellt und<br />
begründet.<br />
Einzelanmerkungen<br />
§ 3 Abs. 12<br />
Die Norm, wonach personenbezogene <strong>Daten</strong> von Beschäftigten „Beschäftigtendaten“<br />
sind, lässt einen Regelungsinhalt vermissen. Eine Bezugnahme und Eingrenzung bei<br />
der Definition des Begriffs „Beschäftigtendaten“ auf <strong>Daten</strong> aus bzw. im<br />
Beschäftigungsverhältnis ist hinsichtlich der Intention des Entwurfes sinnvoll. Nach<br />
der vorliegenden Definition werden – wohl unbeabsichtigt - auch <strong>Daten</strong> eines<br />
Beschäftigten, die offensichtlich nicht zum Zweck der Ausfüllung eines<br />
Beschäftigungsverhältnisses verarbeitet werden, erfasst. Es wird eine<br />
Konkretisierung empfohlen.<br />
§ 4 Abs. 1 i.V.m. Ziff. 7 § 32l Abs. 5<br />
19
20<br />
§ 4 Abs. 1 des Entwurfes stellt klar, dass sich die Rechtmäßigkeit der<br />
<strong>Daten</strong>verarbeitung auch aus Betriebsvereinbarungen ergeben kann. § 32 Abs. 5<br />
verbietet zwar eine Abweichung zu Ungunsten Beschäftigter. Daraus ergibt sich<br />
jedoch nicht zwangsläufig, dass das <strong>Schutz</strong>niveau des BDSG durch eine<br />
Betriebsvereinbarung nicht unterlaufen wird. Der Verweis auf die herrschende<br />
Meinung in der Gesetzesbegründung ist u. E. nicht ausreichend. Vor allem von<br />
Seiten der Arbeitgeber wird diese Rechtsauffassung nicht geteilt. Eine gesetzliche<br />
Klarstellung ist zu empfehlen.<br />
Im Interesse der Rechtsklarheit ist zudem wünschenswert, dass auch Tarifverträge<br />
ausdrücklich erfasst werden.<br />
§ 32l Abs. 5 kann wie folgt formuliert werden:<br />
„Von den Vorschriften dieses Unterabschnittes darf nicht zu Ungunsten der<br />
Beschäftigten abgewichen werden. Dies gilt auch für Rechtsvorschriften gemäß §<br />
4 Abs. 1 Satz 2.“<br />
§ 27 Abs. 3<br />
Die Klarstellung, dass auch Personalakten unter den Anwendungsbereich des<br />
BDSG fallen, ist zu begrüßen.<br />
§ 32 Abs.2<br />
Die Regelung dient einer Einschränkung der Verarbeitung besonders sensibler<br />
<strong>Daten</strong>. Dies ist aber sowohl gesetzestechnisch wie auch inhaltlich nicht geglückt. Die<br />
Verweisung in § 32 Abs. 2 auf § 8 Abs. 1 AGG erfasst auch Vermögensverhältnisse,<br />
Vorstrafen und Ermittlungsverfahren. Diese Merkmale sind jedoch nicht Gegenstand<br />
des § 8 Abs. 1 AGG. § 8 Abs. 1 AGG regelt - entgegen der Begründung - keine<br />
strengen Voraussetzungen der Verarbeitung sensibler <strong>Daten</strong>. Hinsichtlich der<br />
Rechtsfolgen sind die §§ 13 ff. AGG anwendbar. Die Bezugnahme des Verweises<br />
sollte korrigiert bzw. geklärt werden.<br />
Die Erhebung von Angaben zu Vermögensverhältnissen ist in Übereinstimmung<br />
mit der Rechtsprechung des Bundesarbeitsgerichtes (BAG) nur dann zulässig, wenn<br />
dies im Sinne des § 32 Abs. 1 für die spätere auszuübende Tätigkeit des Betroffenen<br />
erforderlich ist. In Betracht kommen aber nur Tätigkeiten, die eine außergewöhnliche<br />
personale Vertrauensstellung begründen (z. B. leitende Angestellte). Allgemeine<br />
finanzielle Risiken dürfen eine Bonitätsprüfung in keinem Fall rechtfertigen und schon<br />
gar keine Erhebung der „Vermögensverhältnisse“. Genau dieses sieht der Entwurf<br />
aber vor. Eine schlechte Bonitätsbewertung ist nicht ansatzweise ein Indiz für zu<br />
erwartende Untreue im Betrieb. Arbeitseinkommen soll Menschen dazu bringen,<br />
finanzielle Engpässe zu überwinden. Die Regelung läuft darauf hinaus, dass<br />
überschuldete Personen es künftig erheblich schwerer haben werden, einkömmliche<br />
Beschäftigungen zu finden. Dies wäre in jeder Hinsicht nicht akzeptabel.<br />
Die Erhebung von Informationen über laufende Ermittlungsverfahren sollte unter<br />
Beachtung des Grundsatzes der Unschuldsvermutung nur dann zulässig sein, wenn<br />
ein überwiegendes berechtigtes Interesse seitens der verantwortlichen Stelle vorliegt.<br />
Grundsätzlich ist von einer Unzulässigkeit der Frage auszugehen. Nur im Falle des<br />
<strong>Schutz</strong>es besonders hochwertiger Rechtsgüter wie z. B. Leben oder sexuelle<br />
Selbstbestimmung ist eine Abweichung von diesem Grundsatz zu rechtfertigen.
Informationen zu Vorstrafen sind nur zulässig, soweit das<br />
Bundeszentralregistergesetz eine Auskunft aus dem Register zulässt. Betriebliche<br />
Praktiken zur Umgehung der Vorgaben des Bundeszentralregistergesetzes<br />
(Einholung einer Eigenauskunft der Betroffenen, Geltendmachung des<br />
datenschutzrechtlichen Auskunftsanspruches gegenüber Strafverfolgungsbehörden)<br />
müssen gesetzlich ausgeschlossen sein.<br />
§ 32 Abs. 6 Satz 2ff.<br />
Die Regelung bemüht sich erfolglos um eine differenzierte Regelung von<br />
Internetrecherchen durch den Arbeitgeber. Eine Überprüfung der Einhaltung der in<br />
§ 32 Abs. 6 S. 2ff. BDSG vorgesehenen Ausnahmen vom Direkterhebungsprinzip ist<br />
in der Praxis nicht durchsetzbar. Eine Abweichung von den allgemeinen Regelungen<br />
ist auch nicht nötig. Daher sollte auf eine Internet-Regelung völlig verzichtet werden.<br />
Die generelle Erhebungsbefugnis aus allgemein zugänglichen Quellen ist nicht zu<br />
rechtfertigen. Es besteht hierfür keine Notwendigkeit. In jedem Fall muss<br />
gewährleistet werden, dass für die Betroffenen Transparenz hergestellt wird, so wie<br />
dies aus § 4 Abs. 2 Nr. 2b BDSG abzuleiten ist. Im Rahmen des<br />
Bewerbungsverfahrens müssen die Betroffenen die Möglichkeit haben, zu aus<br />
allgemeinen Quellen erlangten Erkenntnissen Stellung zu beziehen. In ihrer<br />
Entschließung vom 22.06.2010 hat die Konferenz der <strong>Daten</strong>schutzbeauftragten des<br />
Bundes und der Länder die Erwartung ausgesprochen, dass der Gesetzgeber<br />
<strong>Daten</strong>erhebungen aus allgemein zugänglichen Quellen "untersagt oder zumindest<br />
wirksam begrenzt und die Arbeitgeber dazu verpflichtet, die Betroffenen aktiv - und<br />
nicht erst auf Nachfrage - darüber aufzuklären, woher die verwendeten <strong>Daten</strong><br />
stammen."<br />
In der Praxis ist eine Unterscheidung zwischen Sozialen Netzwerken, die der Pflege<br />
von rein privaten Beziehungen und der Darstellung der beruflichen Qualifikation<br />
dienen, nicht möglich. Ebenso ist eine Unterscheidung zwischen Sozialen<br />
Netzwerken und sonstigen öffentlichen Quellen nicht vornehmbar.<br />
§ 32a Abs. 1<br />
Die Durchführung ärztlicher Untersuchungen soll davon abhängig gemacht<br />
werden, dass der zu untersuchenden Gesundheitszustand eine wesentliche und<br />
entscheidende Anforderung für die Besetzung der Stelle ist. Die Anforderungen<br />
sollten aber nicht individuell, sondern generalisierend, z. B. durch gesetzlich oder<br />
berufsgenossenschaftlich anerkannte Regelungen, definiert worden sein. Der<br />
Entwurf überlässt es dem Arbeitgeber zu entscheiden, welches die Anforderungen<br />
sind. Der Entwurf bedarf insofern einer Konkretisierung.<br />
Der Zeitpunkt der Durchführung der Untersuchung sollte klargestellt werden.<br />
Ärztliche Einstellungsuntersuchungen sind erst vorzunehmen, wenn die<br />
grundsätzliche Entscheidung über die Einstellung des Beschäftigten bereits getroffen<br />
und die Begründung des Beschäftigungsverhältnisses lediglich von der Feststellung<br />
der gesundheitlichen Eignung abhängig ist. Diese Anforderung ergibt sich nicht aus<br />
dem Entwurf.<br />
Die in § 32a Abs. 1 S. 2 erwähnte „Einwilligung“ ist aus datenschutzrechtlicher Sicht<br />
fragwürdig, da diese durch den Beschäftigten nicht bzw. nur beschränkt freiwillig<br />
21
22<br />
abgegeben wird. Ist die Untersuchung notwendiger Bestandteil des Verfahrens, kann<br />
der Beschäftigte nur mit der Folge der Nichtbegründung des<br />
Beschäftigungsverhältnisses die Einwilligung verweigern. Daher sollte das<br />
Einwilligungserfordernis durch eine reine Informationsverpflichtung des Arbeitgebers<br />
ersetzt werden.<br />
§ 32a Abs. 1 kann wie folgt gefasst werden:<br />
Der Arbeitgeber darf nach Feststellung der fachlichen Eignung und Befähigung<br />
des Beschäftigten für das Beschäftigungsverhältnis dessen Begründung von<br />
einer ärztlichen Untersuchung abhängig machen, wenn und soweit die Erfüllung<br />
bestimmter gesundheitlicher Voraussetzungen wegen der Art der auszuübenden<br />
Tätigkeit oder der Bedingungen ihrer Ausübung eine wesentliche und entscheidende<br />
berufliche Anforderung zum Zeitpunkt der Arbeitsaufnahme darstellt. Die<br />
Voraussetzungen der gesundheitlichen Eignung müssen durch gesetzliche<br />
oder berufsgenossenschaftlich anerkannte Regelungen definiert sein. Der<br />
Beschäftigte muss über die Art, den Umfang und den Zweck der Untersuchung<br />
sowie die Weitergabe des Untersuchungsergebnisses an den Arbeitgeber<br />
vorher aufgeklärt werden. Dem Beschäftigten ist das vollständige<br />
Untersuchungsergebnis mitzuteilen. Dem Arbeitgeber darf nur mitgeteilt werden, ob<br />
der Beschäftigte nach dem Untersuchungsergebnis für die vorgesehenen Tätigkeiten<br />
geeignet ist.<br />
§ 32a Abs. 2<br />
Satz 2, 2. Halbsatz ist ersatzlos zu streichen. Die Einschränkung der Anforderung an<br />
die Wissenschaftlichkeit des Eignungstest ließe abstruse derartige Tests zu.<br />
Tests mit zweifelhaftem Aussagegehalt über die Eignung eines Beschäftigten sind<br />
nicht erforderlich für die Einstellungsuntersuchung. Nur Eignungstests mit<br />
wissenschaftlicher Anerkennung in Hinblick auf den Untersuchungsgegenstand<br />
sollten datenschutzrechtlich zulässig sein.<br />
§ 32b Abs. 2<br />
§ 32b Abs. 2, wonach <strong>Daten</strong> im Bewerbungsverfahren genutzt werden dürfen, "wenn<br />
der Beschäftigte die <strong>Daten</strong> dem Arbeitgeber übermittelt hat, <strong>ohne</strong> dass der<br />
Arbeitgeber hierzu Veranlassung gegeben hat", ist nicht normenklar. Erfasst werden<br />
alle <strong>Daten</strong>, die dem Arbeitgeber durch den Beschäftigten unaufgefordert zugesandt<br />
wurden. Dies gilt auch für <strong>Daten</strong>, von denen er nach den Erhebungsvorschriften des<br />
§§ 32, 32a keine Kenntnis haben darf. Die Regelung soll Initiativbewerbungen<br />
erfassen. Der Anwendungsbereich der Norm ist jedoch viel weiter. Es werden auch<br />
Fälle geregelt, in denen z. B. der Beschäftigte vor Begründung des<br />
Beschäftigtenverhältnisses Kunde des Unternehmens war oder versucht hat zu<br />
werden. So könnten Unternehmen nach dieser Vorschrift abgelehnte Kreditanträge,<br />
Kundenbeschwerden oder Ähnliches in den Entscheidungsprozess einbeziehen. Der<br />
Satz sollte daher lauten:<br />
Satz 1 Nummer 2 gilt nicht, wenn der Beschäftigte die <strong>Daten</strong> dem Arbeitgeber zum<br />
Zweck der Begründung eines Beschäftigungsverhältnisses übermittelt hat, <strong>ohne</strong><br />
dass der Arbeitgeber hierzu Veranlassung gegeben hat.<br />
§ 32b Abs. 3 letzter Halbsatz
§ 32 Abs. 3 letzter Halbsatz erfasst die Situation, dass am Ende eines<br />
Einstellungsverfahrens die zu diesem Zweck erhobenen <strong>Daten</strong> gelöscht werden<br />
müssen. Es kann jedoch im Interesse des Beschäftigten und des Arbeitgebers sein,<br />
die <strong>Daten</strong> über diesen Zeitpunkt hinaus aufzubewahren, vor allem, wenn zu einem<br />
späteren Zeitpunkt möglicherweise eine andere Stelle zu besetzen ist. Die<br />
Formulierung sollte die Zweckbestimmung der Einwilligungserteilung präzise<br />
beschreiben, z. B. durch die Formulierung „z. B. in Hinblick auf eine möglich, spätere<br />
Begründung eines Beschäftigungsverhältnisses“ ergänzt werden.<br />
Die derzeitige Formulierung widerspricht der Wertung des AGG. Gemäß § 15 Abs. 4<br />
AGG müssen abgelehnte Bewerber innerhalb von 2 Monaten Ansprüche auf<br />
Schadensersatz wegen eines Verstoßes gegen das Benachteiligungsverbot geltend<br />
machen. Die Frist beginnt im Falle einer Bewerbung oder eines beruflichen Aufstiegs<br />
mit dem Zugang der Ablehnung. § 15 Abs. 4 AGG ist keine gesetzliche<br />
Aufbewahrungsvorschrift i.S.d. § 35 Abs. 3 Nr. 1 BDSG, die einer Löschung der<br />
<strong>Daten</strong> entgegensteht. Die Anwendung des Entwurfes hätte die Vereitelung des<br />
Rechtsschutzes sowohl für die Beschäftigten als auch den Arbeitgeber zur Folge. Für<br />
die Geltendmachung einer unzulässigen Benachteiligung genügt der Nachweis von<br />
Indizien. Der Arbeitgeber kann gemäß § 22 AGG verpflichtet sein, das Gegenteil zu<br />
beweisen. Eine Verpflichtung zur sofortigen Löschung würde die Beweisführung für<br />
den Arbeitgeber erheblich erschweren. In der Praxis der Aufsichtsbehörden wird dem<br />
Arbeitgeber eine verlängerte Frist gewährt. In dieser müssen die <strong>Daten</strong> gesperrt,<br />
jedoch nicht gelöscht werden. Eine explizite Regelung für diese Vorgehensweise<br />
existiert derzeit nicht. Das Problem könnte hier einer Lösung zugeführt werden.<br />
§ 32c Abs. 1<br />
Der Katalog der in § 32c Abs. 1 Satz 2 genannten Zwecke für die Erhebung<br />
personenbezogener <strong>Daten</strong> im Beschäftigungsverhältnis ist abschließend und<br />
erfasst sämtliche möglichen Gründe für eine Erhebung. Es ist nicht erforderlich,<br />
durch die Verwendung des Wortes „insbesondere“ weitere Zwecke zuzulassen. Das<br />
Wort ist zu streichen.<br />
Die pauschale Zulassung von „Leistungs- und Verhaltenskontrollen“ nach Abs. 1<br />
S. 2 Nr. 3, eingeschränkt nur durch das Verhältnismäßigkeitsprinzip (Abs. 4), kehrt<br />
das generell geltende Regel-Ausnahme-Verhältnis in sein Gegenteil.<br />
Satz 3 verweist auf die Erhebungsvorschrift des § 32 Abs. 6 und lässt eine Erhebung<br />
von Beschäftigtendaten im Arbeitsverhältnis auch über das Internet oder soziale<br />
Netzwerke zu. Schon im Bewerbungsverfahren ist die Erhebung aus allgemein<br />
zugänglicher Quellen problematisch; während eines bestehenden<br />
Beschäftigungsverhältnisses gibt es hierfür keine erkennbare Notwendigkeit. Die<br />
Verweisung auf § 32 Abs. 6 ist zu streichen.<br />
§ 32c Abs. 3 bezieht sich auf die Erhebung von <strong>Daten</strong> durch Gesundheits- und<br />
Eignungstest gemäß § 32b. Die vorgeschlagenen Beschränkungen für die<br />
Erhebung von Informationen aus derartigen Test ist auch auf diesen Absatz<br />
anzuwenden. Gerade in einem Beschäftigungsverhältnis sollte zum <strong>Schutz</strong> der<br />
Vertrauensbeziehung auf nicht erforderliche Untersuchungen verzichtet werden.<br />
§ 32d Abs. 3<br />
23
24<br />
§ 32d Abs. 3 legalisiert Maßnahmen zur Compliancekontrolle und<br />
Korruptionsbekämpfung. Die Regelung ist datenschutzrechtlich nicht akzeptabel.<br />
Sie verstößt gegen das Prinzip der <strong>Daten</strong>sparsamkeit und <strong>Daten</strong>vermeidung, gegen<br />
den Erforderlichkeitsgrundsatz und ist zudem unverhältnismäßig. Das Regelungsziel<br />
des derzeit gültigen § 32 Abs. 1 S. 2 BDSG wird in sein Gegenteil verkehrt. Es gibt<br />
bisher keine Hinweise, dass "Rasterfahndungen" eine wirksame Methode zur<br />
Compliancekontrolle sein können. Deren Einsatz bei der Deutschen Bahn AG<br />
brachte keine sinnvollen Erkenntnisse. Die geplante Regel dient der<br />
Beweiserforschung und nicht der Beweiserhebung. Arbeitgeber dürften danach <strong>ohne</strong><br />
konkreten Verdacht und <strong>ohne</strong> Anlass Beschäftigtendaten in pseudonymer oder<br />
anonymer Form automatisiert erheben, verarbeiten und nutzen. Die Beschäftigten<br />
würden jeweils einem Generalverdacht ausgesetzt. Die Regelung ist nicht mit dem<br />
Recht auf informationelle Selbstbestimmung und dem durch das<br />
Bundesverfassungsgericht und dem Bundesarbeitsgericht anerkannten <strong>Schutz</strong> vor<br />
einer Vollüberwachung vereinbar (BVerfG, Urt. v. 15.12.1983, 1 BvR 209/83 u.a., Ziff<br />
148, BAG, Beschl. v. 26.08.2008, 1 ABR 16/07, Ziff. 15).<br />
Der Absatz hat zudem gravierende Regelungsschwächen. Gemäß § 3 Abs. 6 sind<br />
<strong>Daten</strong> nur anonym, wenn sie einer Person nicht mehr oder nur unter<br />
unverhältnismäßig hohem Aufwand zugeordnet werden können. Daher ist eine<br />
Personalisierung anonymisierter <strong>Daten</strong> schon begriffslogisch nicht möglich. Der<br />
Entwurf berücksichtigt nicht den Umstand, dass nach der aktuellen Rechtsprechung<br />
der Arbeitsgerichte Fälle des Diebstahls oder der Unterschlagung von geringwertigen<br />
Sachen als schwerwiegende Pflichtverletzungen angesehen werden.<br />
Rasterfahndungen mit Beschäftigtendaten wären damit voraussetzungslos möglich.<br />
Die bei der Deutschen Bahn AG im Jahr 2009 bekannt gewordenen<br />
<strong>Daten</strong>schutzverstöße, die in der Öffentlichkeit zu berechtigter Empörung und<br />
rechtlich zu einer massiven Ahndung führten, ließen sich über die geplante Regelung<br />
rechtfertigen.<br />
§ 32d Abs. 3 Satz 1 sollte die Straftatbestände, deren Verwirklichung durch die<br />
Maßnahmen der <strong>Daten</strong>rasterung aufgedeckt oder verhindert werden sollen, so<br />
konkret wie möglich und nicht nur beispielhaft nennen. Durch eine Bagatell- bzw.<br />
Relevanzschwelle ist eine unverhältnismäßige Verarbeitung von <strong>Daten</strong> für die<br />
Bekämpfung minimaler und irrelevanter Schäden zu vermeiden.<br />
Die automatisierte Verarbeitung von Beschäftigtendaten zur Einhaltung der<br />
Compliance kann nur aufgrund eines Stufensystems und streng zweckgebunden<br />
zugelassen werden. Ein dauerhaftes, systematisches und automatisiertes Auswerten<br />
personenbezogener <strong>Daten</strong> muss unzulässig bleiben. Gefordert werden muss in<br />
jedem Fall ein konkreter Anlass oder eine konkrete Kontrollnotwendigkeit. Der erste<br />
Schritt einer automatisierten Kontrolle darf nur mit gruppenbezogenen <strong>Daten</strong><br />
erfolgen. Ergibt sich ein erster Verdacht, ist die Gruppe der in Betracht kommenden<br />
Täter in Hinblick auf den Vorwurf einzugrenzen. Eine systematische Überwachung<br />
und Kontrolle dieser Gruppe erfolgt dann mit pseudonymen <strong>Daten</strong>. Konkretisiert oder<br />
bestätigt sich der Verdachtsfall, können die <strong>Daten</strong> personalisiert und bezogen auf<br />
konkrete Einzelpersonen ausgewertet werden. Diese Maßnahmen müssen<br />
ausnahmslos der Vorabkontrolle unterliegen.<br />
Zusätzlich sind Verfahrensgarantien für die personalisierte Auswertung von<br />
Beschäftigtendaten zu etablieren. Neben den bereits in Absatz 3 S. 3 und 4
genannten Bedingungen ist der Arbeitgeber zu verpflichten, die tatsächlichen<br />
Anhaltspunkte für den Verdacht zu dokumentieren.<br />
§ 32e Abs. 2<br />
Die verdeckte Erhebung von Beschäftigtendaten begegnet grundsätzlichen<br />
Bedenken. Die geplante Formulierung des § 32e erlaubt Maßnahmen zur Aufklärung<br />
von Straftaten und schwerwiegenden Pflichtverletzungen, die staatlichen<br />
Vollzugsorganen, die einer intensiveren Aufsicht unterliegen, aus<br />
verfassungsrechtlichen Gründen verwehrt bleiben.<br />
Die heimliche Verarbeitung personenbezogener <strong>Daten</strong> sollte nur dann zulässig sein,<br />
wenn Tatsachen den Verdacht einer Straftat begründen und der Verstoß eine<br />
gewisse Erheblichkeit aufweist. Bagatellfälle sind auszuschließen.<br />
§ 32e Abs. 2 kann wie folgt formuliert werden:<br />
„Der Arbeitgeber darf Beschäftigtendaten <strong>ohne</strong> Kenntnis des Beschäftigten nur<br />
erheben, wenn<br />
1. Tatsachen den dringenden Verdacht begründen, dass der Beschäftigte im<br />
Beschäftigungsverhältnis eine Straftat begangen und<br />
2. die Erhebung erforderlich ist,<br />
um die Straftat aufzudecken oder um damit im Zusammenhang stehende weitere<br />
Straftaten des Beschäftigten zu verhindern.“<br />
§ 32e Abs. 4<br />
Die in § 32e Abs. 4 genannten Zeiträume für verdeckte<br />
Überwachungsmaßnahmen erscheinen willkürlich. Der zeitliche Umfang einer<br />
Überwachung muss sich am Zweck der Maßnahme orientieren. Die Zeitvorgaben<br />
müssen sich im Rahmen des Verhältnismäßigen bewegen.<br />
Nach der Begründung soll die Regelung eine heimliche Videoüberwachung<br />
verbieten (Begr. S. 19). Dies gibt aber der Wortlaut nicht her.<br />
§ 32e Abs. 5<br />
Der Verweis bei verdeckten Maßnahmen auf § 4d Abs. 5, der die Vorabkontrolle<br />
regelt, geht ins Leere, da diese Norm nicht anwendbar ist, wenn die Verarbeitung der<br />
Durchführung eines rechtsgeschäftlichen Schuldverhältnisses dient. Diese<br />
Ausnahme vom Erfordernis einer Vorabkontrolle ist im Arbeitsverhältnis regelmäßig<br />
gegeben. Statt des Verweises sollte daher eine die direkte Verpflichtung zur<br />
Vorabkontrolle vorgesehen werden, über die eine umfassende Beteiligung der oder<br />
des betrieblichen <strong>Daten</strong>schutzschutzbeauftragten gewährleistet werden sollte.<br />
Wünschenswert ist insofern auch eine Einbindung der betrieblichen<br />
Interessenvertretung der Arbeitnehmerschaft.<br />
§ 32e Abs. 7<br />
Das absolute Verbot der <strong>Daten</strong>verarbeitung, wenn der Kernbereich privater<br />
Lebensgestaltung betroffen ist, sollte eine verfassungsrechtliche<br />
Selbstverständlichkeit sein, die nicht nur im Arbeitsrecht gilt. Auf eine Regelung<br />
könnte u. E. verzichtet werden. Unklar ist aber im Regelungsfall, welche<br />
Informationen zu den <strong>Daten</strong> des Kernbereiches privater Lebensgestaltung gehören.<br />
25
26<br />
Das Erhebungsverbot muss sich auf sämtliche Informationen erstrecken, die nicht<br />
unmittelbar mit dem Beschäftigungsverhältnis und der aufzuklärenden Straftat im<br />
Zusammenhang stehen.<br />
§ 32f Abs. 1<br />
§ 32 f Abs. 1 regelt die Zwecke, zu denen eine Videoüberwachung zulässig ist.<br />
Diese Zwecke sind derart weit und unbestimmt formuliert, dass Arbeitgeber jederzeit<br />
und an jedem Ort eine offene Videoüberwachung rechtfertigen können. Daher bedarf<br />
es einer Konkretisierung der Überwachungszwecke. Das angebliche vollständige<br />
Verbot heimlicher Videoüberwachung (s.o.) ist aus <strong>Daten</strong>schutzsicht kein Gewinn,<br />
wenn, wie geplant, eine Totalüberwachung offen erlaubt wird.<br />
Die Weite der Erhebungszwecke hat zur Folge, dass eine mehrfache<br />
Rechtfertigung einer Videoüberwachung möglich wird. Eine Abgrenzung der<br />
unterschiedlichen Zwecke kann so nicht erfolgen. So ist z. B. der Unterschied<br />
zwischen der Zutrittskontrolle und der Wahrnehmung des Hausrechtes nicht klar.<br />
Völlig unbestimmt ist z. B. auch, was unter Qualitätskontrolle zu verstehen ist<br />
(Qualität des Arbeitsplatzes, der Arbeitsleistung, der erzeugten Produkte?).<br />
Es bedarf der gesetzlichen Klarstellung, dass eine Rundum- und<br />
Dauerüberwachung unzulässig ist. Entsprechend der bisherigen Rechtsprechung<br />
sollte eine dauerhafte Überwachung von Beschäftigtenarbeitsplätzen untersagt<br />
werden.<br />
§§ 32f Abs. 1 Nr. 4, 32g Abs. 1 S. 1 Nr. 1<br />
Anstelle des unbestimmten Zwecks der „Sicherheit des Beschäftigten“ sollte der<br />
arbeitsrechtlich etablierte Begriff der Arbeitssicherheit gewählt werden.<br />
§ 32h Abs. 1<br />
Die Erhebung und Verarbeitung biometrischer <strong>Daten</strong> kann einen tiefgreifenden<br />
Eingriff in Persönlichkeitsrechte darstellen. In diesem Absatz fehlt die Abwägung<br />
zwischen den berechtigten Interessen des Arbeitgebers und den schutzwürdigen<br />
Interessen der Arbeitnehmer. Nach der Formulierung könnte jeder Bedarf an<br />
Authentifikation oder Autorisierung eine Verarbeitung biometrischer <strong>Daten</strong><br />
rechtfertigen. Daher sollten hier die überwiegenden sicherheitsrelevanten Gründe<br />
aufgezählt werden, für die die Nutzung biometrischer <strong>Daten</strong> erforderlich ist. Es sollte<br />
ein Verbot des Einsatzes derartiger <strong>Daten</strong> zur Leistungs- und Verhaltenskontrolle<br />
(z. B. Zeiterfassung) aufgenommen werden.<br />
§ 32i<br />
§ 32i Abs. 2 rechtfertigt Eingriffe in das verfassungsrechtlich geschützte<br />
Fernmeldegeheimnis. Diese Eingriffe sind auf die Anwendungsfälle zu<br />
beschränken, bei denen eine gesetzliche Aufzeichnungspflicht besteht oder die<br />
Telefonleistung wesentlicher Bestandteil des Vertrages zwischen dem Beschäftigten<br />
und dem Arbeitgeber und den Anrufern bzw. Angerufenen ist. Das regelmäßige<br />
Mithören und Aufzeichnen zu Zwecken der Qualitätskontrolle oder bei der Markt- und<br />
Meinungsforschung sollte ausdrücklich untersagt werden.
§ 32 Abs. 2 kann wie folgt formuliert werden:<br />
Inhalte einer ausschließlich zu beruflichen oder dienstlichen Zwecken erlaubten<br />
Nutzung von Telefondiensten darf der Arbeitgeber nur erheben, verarbeiten und<br />
nutzen, soweit<br />
1. die erbrachte telefonische Dienstleistung wesentlicher Inhalt der<br />
geschuldeten Arbeitsleistung ist oder<br />
2. gesetzliche Dokumentationspflichten auf Seiten der verantwortlichen Stelle<br />
eine Aufzeichnung der Inhalte erforderlich machen.<br />
Der Beschäftigte und seine Kommunikationspartner sind im Einzelfall vorher<br />
über die Aufzeichnung zu informieren und müssen in diese einwilligen.[…]<br />
In Abs. 4 wird der datenschutzrechtlich völlig neue Begriff der „privaten <strong>Daten</strong>“<br />
verwendet, <strong>ohne</strong> dass erkennbar ist, was hierunter verstanden werden soll. Auch aus<br />
der Begründung ergibt sich nicht, ob hiermit die private Nutzung von<br />
Telekommunikationsanlagen des Arbeitgebers geregelt werden soll, was aus dem<br />
Kontext heraus zu vermuten ist. Hieraus würde folgen, dass die Speicherung und<br />
Auswertung von <strong>Daten</strong> aus der privaten Telekommunikation mit dem Argument der<br />
Wahrung „des ordnungsgemäßen Dienst- und Geschäftsbetriebes“ gerechtfertigt<br />
werden kann. Diese Eingriffe, die nicht einmal eine Abwägung mit den<br />
<strong>Schutz</strong>interessen der Betroffenen vorsieht, sind im Hinblick auf Art. 10 GG viel zu<br />
weit und daher nicht akzeptabel.<br />
§ 32l<br />
Abs. 4, der vor einer Beschwerde bei einer <strong>Daten</strong>schutzbehörde eine Anzeige beim<br />
Arbeitgeber einfordert, verstößt gegen Europarecht und gegen nationales<br />
Verfassungsrecht. Art. 28 Abs. 4 der Europäischen <strong>Daten</strong>schutzrichtlinie (EU-DSRL)<br />
erlaubt ebenso wie Art. 17 Grundgesetz (GG) jeder Person, zum <strong>Schutz</strong> der diese<br />
Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener<br />
<strong>Daten</strong> sich an die Kontrollstelle mit einer Eingabe zu wenden. Dieses Petititonsrecht<br />
würde beschnitten, wenn vorab die Einhaltung des Dienstweges oder eine<br />
Befassung des Arbeitgebers verpflichtend wäre.<br />
Die aufsichtsbehördliche Praxis zeigt, dass Beschäftigte in hohem Maße ein<br />
Interesse daran haben, nicht gegenüber ihrem Arbeitgeber genannt zu werden.<br />
Häufig befürchten Petenten Sanktionen. Das Vertrauensverhältnis zwischen dem<br />
Arbeitgeber und Beschäftigten ist hier nicht schutzwürdig, da das Vertrauen des<br />
Beschäftigten, der meint, sich an die Aufsichtsbehörde wenden zu müssen, zumeist<br />
erschüttert ist. Aufgabe der Aufsichtsbehörde ist in dieser Situation, den Verstoß zu<br />
untersuchen, ihn abzustellen und dadurch das Vertrauen wieder herzustellen.<br />
Die Regelung demonstriert beispielhaft die Schieflage des gesamten<br />
Gesetzesentwurfes: Dem Arbeitgeber werden umfassende Eingriffsbefugnisse<br />
zugestanden, um sich gegen unredliche und unehrliche Beschäftigte zu schützen.<br />
Den Beschäftigten werden aber keine wirksamen Mittel an die Hand zu geben,<br />
Überwachungsmaßnahmen in Frage zustellen und unabhängig überprüfen zu<br />
lassen.<br />
§ 38 Abs. 1 Satz 7 BDSG gewährt jedermann das Recht, sich an die<br />
Aufsichtsbehörde wenden. Dem gegenüber hält der Absatz den Beschäftigte an, sich<br />
zunächst an den Arbeitgeber zu wenden. Die Regelung hätte zur Folge, dass eine<br />
nicht betroffene nahestehende Person das Recht hätte, direkt die Aufsichtsbehörde<br />
27
28<br />
anzurufen, nicht aber der Betroffene selbst. Vorzugswürdig ist, wenn überhaupt eine<br />
Regelung beabsichtigt ist, ein ausdrückliches Benachteiligungsverbot<br />
aufzunehmen:<br />
„Beschäftigte dürfen wegen einer Eingabe oder Anfrage bei einer Aufsichtsbehörde<br />
durch den Arbeitgeber nicht diskriminiert oder in sonstiger Weise benachteiligt<br />
werden.“<br />
§ 32l sollte außerdem um die Festlegung eines Verwertungsverbotes ergänzt<br />
werden. Die aufsichtsbehördliche Praxis zeigt, dass unzulässige <strong>Daten</strong>erhebungen<br />
und -verarbeitungen genutzt werden, um arbeitsrechtliche Maßnahmen zu<br />
begründen. Vor den Arbeitsgerichten fallen Beweise, die unter Verstoß gegen<br />
datenschutzrechtliche Bestimmungen erlangt wurden, selten oder nie unter das<br />
Beweisverwertungsverbot. Daher ist ein neuer Absatz einzufügen:<br />
„Unzulässig erhobene oder verarbeitete Beschäftigtendaten dürfen für<br />
arbeitsrechtliche Maßnahmen und in arbeitsgerichtlichen Verfahren nicht verwertet<br />
werden.“
�<br />
�<br />
������������������������������<br />
�<br />
�������������������<br />
�<br />
����������������������������������������������������<br />
������������������������������������������������������������<br />
�������������������������������������<br />
�<br />
���������������������������������������������<br />
�<br />
�<br />
�<br />
�<br />
�<br />
���������� ���������������������������������������������������������������������������������������������������<br />
�������������������������� �����������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������������������������<br />
������������������������������������������������ ���������������������������������������������<br />
��������������������������������������������������������������������������������������������������<br />
������������������ ����������������������������������������������������������������������������������<br />
������������������ ��������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������������������������<br />
������������� ����������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������������� ���<br />
������������������������ ��������������������������������������������������������������������������� ���<br />
�������������������� ������������������������������������������������������������������������������ ���<br />
������������������� ��������������������������������������������������������������������������������� ���<br />
��������������������������������������������������������������������������������������������� ���<br />
����� ����������������������������������������������������������������������������������������������������� ���<br />
�<br />
�<br />
�<br />
�������<br />
�����������������������<br />
�������������������������<br />
������������������������<br />
������������������<br />
����������������������<br />
29
30<br />
�����������<br />
�<br />
���������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������������<br />
��������������������������������������������������������������<br />
�<br />
������������������������������������������������������������������������������������������<br />
������������������������������������<br />
o ������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������<br />
������������ � ���<br />
o ������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������<br />
�����������<br />
o ���������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������<br />
������<br />
o �����������������������������������������������������������������������������������<br />
�����������������������������������������<br />
o ���������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������<br />
����������������<br />
�<br />
�������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������� � ��<br />
�����������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������<br />
�<br />
�����������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
�����������������������������������<br />
�<br />
���������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
� ����������������������������������������������������������������<br />
� ����������������������������������������������������������
����������������������������������������������������������������������������������������<br />
����������������������������������������������<br />
�<br />
�����������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������<br />
��������������������������������������������� � ��������������������������������������������<br />
�������������������������� � ��������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������<br />
�<br />
�����������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
������������������������������ � ��<br />
�<br />
�����������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
������������������������������������������������������� � ����<br />
�<br />
�<br />
� ����������������������������������������������������������������������������������<br />
� ���������������������������������������������������<br />
� ����������������������������������������������������<br />
� ����������������������������������������������������������������������������������<br />
31
32<br />
���������������������������<br />
�<br />
����������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������<br />
����������������������������������������������������<br />
�<br />
�����������������������������������������������������������������������������������������<br />
��������<br />
�<br />
�<br />
�<br />
����������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
������������������������������������������������<br />
�<br />
�����������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
����������������������������������<br />
�<br />
�������������������������������������������������������������������������������������<br />
�������������������������������������������������������������<br />
�<br />
�
����������������������<br />
�<br />
Gegen Gelegenheits-Lauscher kann man sich wehren<br />
�<br />
�������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������<br />
�<br />
�<br />
���������������������������������<br />
�<br />
������������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������<br />
�������<br />
�����������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
�����������������������������������������������<br />
�<br />
����������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������������<br />
�������������������������������������<br />
�<br />
��������������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������������<br />
�����������������������������������������������������������<br />
�<br />
gerrit_wiegand@ebay.com.txt geändert am 27.1.2008<br />
gerrit_wiegand@search.support.microsoft.com.txt geändert am 27.1.2008<br />
gerrit_wiegand@amazon.de.txt geändert am 27.1.2008<br />
�<br />
��������������������������������������������������������������������������<br />
�<br />
�������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
33
34<br />
����������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
��������������������������������������������������<br />
�<br />
�����������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������<br />
��������������������������������������������������������������������������������<br />
�<br />
������������������������������������������������������������������������������������������<br />
c:\Dokumente und Einstellungen\Benutzername\cookies\������������������������<br />
���������������������������������<br />
�<br />
���������������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������������<br />
�������������������������������������������������������������*cookie*��������������������<br />
������������������������������������������������������������������������������<br />
�<br />
�����������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
������������������������notepad������������������������������������������������������������<br />
�����������<br />
�<br />
�����������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������<br />
�<br />
��������������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
���������������������������������������<br />
�<br />
����������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
�������<br />
�<br />
������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������� � �<br />
����������������������������������������������������������������������������������������<br />
���������� � ����������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
��������������������������������������������������������������<br />
�<br />
�<br />
�<br />
�<br />
�<br />
� ����������������<br />
� �����������������
�������������������<br />
�<br />
����������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
����������������������������������������������������������������<br />
�<br />
�������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������<br />
��������������������������������������������<br />
����������������������������������������������������������������������<br />
�<br />
�������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������<br />
�<br />
��������������������������������������<br />
�<br />
�����������������������������������������������������������������������������������������<br />
������������c:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temporary<br />
Internet Files\���<br />
�<br />
���������������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������������<br />
�������������������������������������������������������������*cache*����������������<br />
*temporary* �������������������������������������������������������������<br />
�<br />
����������������������������������������������������������������������������������������<br />
�������<br />
�<br />
���������������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������������<br />
�<br />
�<br />
Spion wider Willen<br />
�<br />
������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������������<br />
�����������������������������<br />
�����������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������������<br />
���������������<br />
�<br />
����������������������������������������������������������������������������������������<br />
��������������������������������������������������<br />
�<br />
���������������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
35
36<br />
����������Start � Suchen � Datei/Ordner���������������������������������������<br />
�����������������������������������<br />
����������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
.log������.dat��������������������������������������������������������������������������<br />
��������������������������������������������<br />
�<br />
�����������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������<br />
�<br />
�<br />
Schuldig!<br />
�<br />
����������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������<br />
�<br />
���������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
����������������������������������������������������������������<br />
�<br />
�<br />
��������������<br />
�<br />
�����������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������<br />
�<br />
��������������������������������������������������������������������������������������<br />
����������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
�����<br />
�<br />
���������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
��������<br />
�����������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
�����������������������������<br />
�
����������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������<br />
������������������<br />
�<br />
���������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
�������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
�����������������������������������������������������������<br />
�<br />
�������������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
����������������������������������������<br />
��������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
������������<br />
�����������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������<br />
����������������������������<br />
��������������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
��� � ���������������������������������������������������������������������������������<br />
��������������������������������������������������������� �� ���������������������������<br />
�������������������������������������������������������������� �� ��<br />
�<br />
�<br />
�<br />
�<br />
�<br />
�<br />
�<br />
�<br />
� �������������������������������������������<br />
�� ��������������������������������������������������������<br />
�� ��������������������������������������������������������<br />
37
38<br />
������������������������������������������������������������������������������������<br />
���������������<br />
�<br />
����� ����������� ������������ �� �<br />
������������<br />
���<br />
�����������<br />
��������������������<br />
o ���������������������������������������������������<br />
��������������������������������������������������<br />
��������������������������������������������������<br />
����������������������<br />
o ���������������<br />
o �����������������������<br />
o ���������������������������������<br />
o ���������������������������<br />
o ���������������������������������������������������<br />
��������������������<br />
o �����������������������������������������������<br />
�����������������������������������������������<br />
��������������������<br />
o ������������������������������������������������<br />
�������<br />
o ���������������������������������������������������<br />
����������������<br />
o ������������������������������������������������<br />
��������������������������������������������������<br />
�������������������������������������������������<br />
�������������������<br />
o �������������������������������������������������<br />
���������������������������� �� ��<br />
o ����������������������������������<br />
�������������� ������������������������ o ������������������������������������������������<br />
������������<br />
o ���������������<br />
o ����������������������������<br />
o ��������������������������������<br />
o ��������������<br />
o �����������������������<br />
o ��������������������������������������<br />
o ����������������������������������������������������<br />
��������������������������������������������������<br />
�����������������������<br />
o ������������������������������������������������<br />
�����������<br />
����������<br />
o �������������������������������������<br />
�������� o ����������������������������������������������<br />
o �����������������������������<br />
o ����������������������������������<br />
o �����������������������������<br />
o �����������������������<br />
o �����������������������������������<br />
o ���������������������������������������������<br />
o �������������������������������������������������<br />
�����������������<br />
o �������������������������������<br />
o ��������������������������������������<br />
o ��������������������������������������<br />
o ����������������������������������������������<br />
����������<br />
o ����������������������������������������<br />
�� ������������������������������������������������<br />
�� �������������������������
o �������������������������<br />
o ��������������������������������<br />
o �����������������������������<br />
o ��������������������������������������������������<br />
����������������������<br />
o �������������������������������������<br />
����������������������������<br />
o �������������������������������<br />
�<br />
�<br />
�����������������������������������<br />
�<br />
�����������������������������������������������������������������������������������<br />
�������������<br />
������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
����������������������������������������������<br />
�<br />
�����������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
������������������������������������<br />
��������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
��������������������������������������������������<br />
���������������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
����������������������������������������������������������������.log�������dat�����<br />
�������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
����������������������������������������<br />
�������������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������<br />
�<br />
�����������������������������<br />
���������������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
�������������������������������������������������������� �� ������������������������������<br />
������������� �� �����������������������������������������������������<br />
�<br />
�� ����������������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������<br />
�������������������������<br />
�� �������������������������������������������������������������������������������<br />
39
40<br />
�������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
���������������������.gif, .jpg, .png������.tif���������������������������������<br />
������������������������������������������������������������������������������������������<br />
������������������������������������������������<br />
�
41<br />
�������������������������<br />
�<br />
���������������������������������������������������������������������������������������<br />
�����������������������������������<br />
�<br />
�������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
�������<br />
�<br />
����������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
�������������������������������������<br />
��<br />
o ����������<br />
������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������<br />
�����������������������������������������<br />
������������������������������������������������������������������������������������<br />
�����������������<br />
o �������<br />
������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������<br />
����������������������������������������������������������<br />
o �������������<br />
������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������<br />
�������������������������������<br />
���������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������<br />
��������������<br />
�
42<br />
�����������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
�������������<br />
�������������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
�<br />
��������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
������������������������<br />
�<br />
�<br />
Kein Kraut gewachsen<br />
�<br />
����������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
���������������������������������������������<br />
�<br />
���������������<br />
o �������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������<br />
o ���������������������������������������������������������������������������������<br />
����������������������������������������������������<br />
o ������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
������������������<br />
�<br />
�������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������������<br />
�������������������������������������������������������������<br />
�<br />
�
Der Spion im Server<br />
�<br />
�����������������������������������������������������������������������������������������<br />
��������������������������������������������������<br />
�<br />
o �����������������������������������������������������������������������������������<br />
�������������������������<br />
o �����������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������<br />
�����������������������������<br />
o ��������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������<br />
�<br />
������������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������������<br />
���������������������������������� �� ��<br />
�<br />
�����������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
������������������������������������������<br />
�<br />
����������������������������������������������������������������������������������������<br />
������������������������������������������<br />
�<br />
����������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������������<br />
����������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
�� �������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������������<br />
����������������������������������������������������<br />
43
44<br />
�������������������������������������������������������������������������������������������<br />
������������������������������������������������� �� ��<br />
�<br />
�����������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������<br />
�<br />
�����������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
��������������������������������������������������������������<br />
�<br />
����� ����������� ������������ �� �<br />
��������� ���������<br />
�������������������<br />
������� �����������<br />
��������������������<br />
���������<br />
�������������<br />
�<br />
������������<br />
�������������������������<br />
�� �����������������������������������<br />
�� ������������������������������������������������<br />
o ���������������������������<br />
o �����������������������������������������������������<br />
��������������������������������������������������<br />
o �������������������������������������������������<br />
���������������������������������������������������<br />
���������������������������������������������������<br />
������������������������������<br />
o �������������������������������������������������<br />
���������������������<br />
o ��������������������������������������������������<br />
�������������������������������������������������<br />
�����������������������������������������������<br />
���������������������������������������������������<br />
��������������������������������<br />
o ����������������������������������������������������<br />
������������������������������������������������<br />
���������������������������������<br />
o ����������������������������������������������������<br />
o �����������������������������������������<br />
�����������������������������������������������<br />
o ��������������������������������������������������<br />
������������������������<br />
o ���������������������������������������������������<br />
���������������������������������������������������<br />
�������<br />
o ��������������������������������������������������<br />
��������������������������������������������������<br />
�������������������������������������������������<br />
�����������������������<br />
o ����������������������������������������������<br />
o ��������������������������������������������������<br />
��������������������������������������������<br />
������������������������������������������������<br />
�������������������������������������������������<br />
���������������
45<br />
�������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������<br />
�������������������������������<br />
�<br />
�<br />
�����������������������������������<br />
�<br />
��������������������������������������������������������������������������������������<br />
��������������������������������������������������������������<br />
���������������������������������������������������������������������������������<br />
�������������������������������������������������������������<br />
�<br />
��������������������������������������������������������������������������������������<br />
�������������������������������������������������<br />
��������������������������������������������������������<br />
o �������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������<br />
�����������������������������������<br />
o ���������������������������������������������������������������������������������<br />
����������������������<br />
o ����������������������������������������������������������������������<br />
��������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������<br />
�<br />
�������������������������������������������<br />
�<br />
���������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
�<br />
������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������������<br />
�������������������������������������<br />
��������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
����������������������������������<br />
�<br />
������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
������������������������������������������������������<br />
�<br />
�<br />
�
46<br />
�������������������������������������������������������������<br />
o �������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������<br />
���������������<br />
o �����������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������<br />
o �������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������<br />
o ��������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������<br />
��������������������������������������������<br />
o �������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������<br />
��������������<br />
�<br />
�����������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
�<br />
����������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������<br />
�<br />
�����������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
��������<br />
�<br />
���������������������������������������������������������������������<br />
http://www.pgpI.org/�����������������������<br />
�<br />
�<br />
�<br />
�<br />
�
47<br />
���������������������������������������������������<br />
�<br />
�������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
�����<br />
�<br />
�������������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
�������������<br />
�<br />
�����������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
���������������������������������������<br />
�<br />
�����������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
����������������������������<br />
�<br />
��������������������������������������<br />
�<br />
������������������������������������������������������������<br />
������������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
����������������������������<br />
�������������������������������������������������������������������������������������<br />
������������������������������������������<br />
�<br />
���������������������������������������������������������������������������������������<br />
�������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������<br />
�������������������������������������������<br />
�<br />
����������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������
48<br />
���������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
�<br />
������������������������������������������������������������www.htthost.com����������<br />
�����������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
������<br />
�<br />
�������������������������������������������<br />
�<br />
���������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
�����������������������������������������<br />
����������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
���������������������������������<br />
��������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������<br />
�<br />
�������������������������������������������������������������������������������������������<br />
��������������������������������������������������������<br />
������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������<br />
��������������������������������������������������������������� �� �����������������������<br />
�����������������������������������������������������������������������������������������<br />
�������������������������<br />
��������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
������������������������������������������������������<br />
�<br />
�� ���������������������������������������������������������������������������������������������<br />
�����
�<br />
������������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
�������������������������������������������������������<br />
��<br />
����������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������������<br />
��������������������������������������������������������������<br />
�<br />
�<br />
�<br />
�<br />
�<br />
�<br />
�<br />
�<br />
49
50<br />
�������������������������������<br />
�<br />
���������������������������������������������������������������������������������������<br />
��������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
�����������������������������������������<br />
�<br />
�������������������������������������������������������������������������������������<br />
���������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������������<br />
���������������������������<br />
�����������������������������������������������������������������������<br />
http://anon.inf.tu-dresden.de����������������������������������������������������<br />
����������������������������������������������������<br />
������������������������������������������������������������<br />
�<br />
������<br />
�<br />
��������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������������<br />
����������������������������������������������������������������������������������������<br />
������������������������������������������������������������������������������������<br />
�<br />
�<br />
�<br />
�<br />
�<br />
�<br />
�<br />
�<br />
�<br />
�
MARIE-THERES TINNEFELD / THOMAS PETRI / STEFAN BRINK<br />
Aktuelle Fragen um ein<br />
Beschäftigtendatenschutzgesetz <strong>Daten</strong>schutzrecht<br />
Eine erste Analyse und Bewertung<br />
Der jüngst vorgelegte Gesetzentwurf der Bundesregierung<br />
zum Beschäftigtendatenschutz verdient eine eingehende<br />
Analyse: Auf der Basis verfassungsrechtlicher Vorüberlegun-<br />
I. Einleitung<br />
Die Entwicklung des Rechts lebt von konkreten Anstößen. So<br />
hat der <strong>Daten</strong>schutz in der zweiten Hälfte des vergangenen<br />
Jahrhunderts von der Angst vor dem Aufkommen des Computers<br />
und der Allgegenwart personbezogener <strong>Daten</strong> profitiert.<br />
Jeder kennt das Problem des „gläsernen Bürgers“, das George<br />
Orwell in seinem Roman „1984“ als Menetekel beschwor. Derselbe<br />
Autor forderte bereits 1946 in einer Artikelserie für die<br />
„Manchester Evening News“ Aufklärung über die sich abzeichnende<br />
Überwachung mit technischen Mitteln: „Die ganze Welt<br />
bewegt sich heute einer strikt kontrollierten Gesellschaftsform<br />
entgegen, in der die Freiheit aufgehoben, die soziale Gleichheit<br />
hingegen keineswegs verwirklicht wird. So wollen es die Massen,<br />
denen eben Sicherheit über alles geht.“ Ziel sei es, so Orwell,<br />
einen Bewusstseinsstatus zu schaffen, in dem der aufgeklärte<br />
Mensch dies erkenne.<br />
Freiheitsgefahren, die jünger sind als das GG, die elektronische<br />
<strong>Daten</strong>verarbeitung oder die zunehmende (unsichtbare) Vernetzung<br />
im Internet, haben das BVerfG veranlasst, den grundrechtlich<br />
fundierten Freiheitsschutz fortzuschreiben. Es hat aus dem<br />
allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 und Art. 1 Abs. 1<br />
GG) zwei neue Grundrechte abgeleitet:<br />
das „Grundrecht auf <strong>Daten</strong>schutz“ – Recht auf informationelle<br />
Selbstbestimmung – Recht auf Privatheit (1983) im Kontext<br />
der automatisierten <strong>Daten</strong>verarbeitung; 1<br />
das „IT-Grundrecht“ – Recht auf Gewährleistung der Vertraulichkeit<br />
und Integrität informationstechnischer Systeme<br />
(2008) im Kontext verdeckter Zugriffe auf informationstechnische<br />
Systeme. Das neue Grundrecht bezieht sich auf den <strong>Schutz</strong><br />
der Privatheit. Es betrifft IT-Systeme, die der Einzelne, also auch<br />
der Beschäftigte, als eigene allein oder zusammen mit anderen<br />
nutzt. 2<br />
1 BVerfGE 65, 1 ff. – Volkszählungsurteil.<br />
2 BVerfG MMR 2008, 315 – Online-Durchsuchung.<br />
3 Vgl. Regierungsentwurf unter: http://www.bmi.bund.de/cln_156/SharedDoca/<br />
Downloads/DE/Gesetzestexte/Entwuerfe/Entwurf_Beschaeftigtendatenschutz.html<br />
?nn=109628.<br />
4 Dazu und zu vorangegangenen Referentenentwürfen vgl. die Synopse im<br />
MMR-Forum zum Beschäftigtendatenschutz von Hanloser, abrufbar unter: http://<br />
community.beck.de/gruppen/mmr-forum-zum-beschaeftigtendatenschutz.<br />
5 Vgl. BVerfGE 65, 1, 43.<br />
6 Das folgt bereits aus der grundrechtlichen Befugnis des Betroffenen, selbst zu<br />
entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte<br />
offenbart werden, vgl. BVerfGE 65, 1, 42; bestätigend BVerfG MMR 2008, 315.<br />
7 Vgl. BVerfG NJW 2010, 833, 839, Rdnr. 218 = MMR 2010, 356; BVerfG MMR<br />
2008, 315 unter Verweis auf BVerfGE 65, 1, 42.<br />
8 Vgl. BVerfGE 65, 1, 44.<br />
9 Vgl. BVerfGE 65, 1, 45.<br />
10 Vgl. z.B. BVerfG MMR 2004, 302.<br />
11 Vgl. BVerfGE 65, 1, 46.<br />
gen wird der lang erwartete und nun intensiv diskutierte Gesetzentwurf<br />
einer ersten Prüfung und vorsichtigen Bewertung<br />
unterzogen.<br />
Das Gericht hat mit Anerkennung dieser Grundrechte keineswegs<br />
nur den öffentlichen Bereich angesprochen. Die Tragweite<br />
seiner Aussage, die rechtlichen Grundsätze für den Persönlichkeitsschutz<br />
gelten auch für die alltägliche Praxis im Beschäftigtenverhältnis.<br />
In der politischen Diskussion wird der Begriff des Beschäftigtendatenschutzes<br />
oft synonym mit dem Begriff des Arbeitnehmerdatenschutzes<br />
verwandt. Aus datenschutzrechtlicher Sicht ist der<br />
Begriff „Beschäftigtendatenschutz“ jedoch weiter zu verstehen,<br />
weil er Beschäftigte und Bewerber in der Privatwirtschaft und im<br />
öffentlichen Dienst umfasst (vgl. § 3 Abs. 11 BDSG). Vor dem<br />
Hintergrund allseits bekannter Überwachungsskandale hat der<br />
Bundesgesetzgeber in der 16. Legislaturperiode die langjährige<br />
Forderung nach der Regelung des Beschäftigtendatenschutzes<br />
aufgegriffen und in einem ersten Schritt § 32 BDSG verabschiedet.<br />
Das Bundeskabinett hat am 25.8.2010 einen Regierungsentwurf3<br />
angenommen, wonach diese Vorschrift durch eine<br />
Reihe von Spezialnormen (§§ 32–32l BDSG) ersetzt werden<br />
soll. 4<br />
Im Folgenden werden zunächst grundrechtlich gebotene<br />
Maßstäbe des allgemeinen Persönlichkeitsrechts mit Blick auf<br />
den Beschäftigtendatenschutz dargelegt.<br />
II. Grundrechtliche Prinzipien<br />
Das „Grundrecht auf <strong>Daten</strong>schutz“ umfasst die Befugnis des<br />
Einzelnen, grundsätzlich selbst zu entscheiden, wann und inner-<br />
halb welcher Grenzen er persönliche Lebenssachverhalte offenbaren<br />
will. 5 Es hält dem Einzelnen Bereiche der Privatheit und Intimität<br />
unter dem Aspekt neuer Technologien frei (z.B. der Videoüberwachung<br />
sanitärer Räume). Es gelten insbesondere folgende<br />
Grundsätze:<br />
Eine <strong>Daten</strong>erhebung hat grundsätzlich unmittelbar bei dem<br />
Betroffenen/Beschäftigten zu erfolgen. 6<br />
Unabdingbar ist das Verbot einer Totalerhebung und umfassender<br />
Rasterfahndungen, weil und soweit auf diesem Wege<br />
umfassende Persönlichkeitsbilder der jeweils betroffenen Personen/Beschäftigten<br />
erstellt werden können. 7<br />
Geboten ist die Reduzierung von <strong>Daten</strong>erhebungen auf ein<br />
Mindestmaß. Nur was für die Erfüllung der Aufgaben einer bestimmten<br />
rechtmäßigen Institution/Dienstherr oder Arbeitgeber<br />
für die Erfüllung der Aufgaben erforderlich ist, ist auch datenschutzrechtlich<br />
zulässig (Erforderlichkeitsprinzip). 8<br />
<strong>Daten</strong> dürfen nur zu bestimmten, legitimen Zwecken verwendet<br />
werden (Gebot der Zweckbindung). 9<br />
Der Kernbereich der privaten Lebensgestaltung einer Person<br />
ist strikt zu wahren. 10 Unzumutbare intime Angaben über Beschäftigte<br />
oder gar Selbstbezichtigungen dürfen nicht erhoben<br />
werden. 11<br />
Der Umgang mit personenbezogenen <strong>Daten</strong> hat regelmäßig<br />
offen zu erfolgen (Transparenzgebot). In diesem Zusammen-<br />
BEITRÄGE<br />
51
hang genießen Kontrollrechte (auf Auskunft, Akteneinsicht und<br />
Benachrichtigung) 12 sowie Korrekturrechte des Beschäftigten<br />
(auf Berichtigung, Sperrung oder Löschung) 13 einen grundrechtlichen<br />
Rang.<br />
Wegen der für die Beschäftigten oft undurchsichtigen <strong>Daten</strong>verarbeitungsprozesse<br />
ist es für ihren effektiven Persönlichkeitsschutz<br />
weiterhin von erheblicher Bedeutung, dass sie den „vorgezogenen<br />
Rechtsschutz“ bei rechtlich unabhängigen <strong>Daten</strong>schutzinstanzen<br />
in Anspruch nehmen können. 14<br />
Diese Grundrechtsgarantien werden durch das IT-Grundrecht<br />
erweitert, das vor heimlichen Zugriffen auf IT-Systeme schützt,<br />
die der Beschäftigte als eigene Systeme nutzt und nutzen darf; 15<br />
dabei geht es nicht nur um die Vertraulichkeit abgespeicherter<br />
<strong>Daten</strong>, sondern auch um den <strong>Schutz</strong> der Steuerbarkeit von Ver-<br />
arbeitungsprozessen als solchen. 16<br />
52<br />
Wie andere Grundrechte<br />
auch kann das Persönlichkeitsrecht nach Maßgabe der Verhältnisse<br />
eingeschränkt werden. Dabei sind etwaige grundrechtliche<br />
Belange des Arbeitgebers zu berücksichtigen. Zu nennen<br />
sind z.B. die wirtschaftliche Handlungsfreiheit aus Art. 2 Abs. 1<br />
GG, die Berufsfreiheit aus Art. 12 Abs. 1 GG und die Garantie<br />
des Eigentums aus Art. 14 Abs. 1 GG; ggf. ist i.R.d. sog. mittelbaren<br />
Drittwirkung eine Abwägung der widerstreitenden<br />
<strong>Schutz</strong>güter vorzunehmen. Doch auch bei wichtigen Belangen<br />
des Arbeitgebers, die etwa unter das Stichwort „Compliance“<br />
zu subsumieren sind, muss die Abwägung die vorgenannten<br />
Grundprinzipien des <strong>Daten</strong>schutzes zu Gunsten der Beschäftigten<br />
angemessen berücksichtigen. 17<br />
III. Reformbedarf<br />
„Beschäftigtendatenschutz“<br />
Die Bespitzelungen von Arbeitnehmern bei diversen bekannten<br />
großen Unternehmen18 erwecken den Eindruck, dass der Arbeitnehmer<br />
vielfach „mehr als Risikopartner, denn als Partner<br />
wahrgenommen wird.“ 19 Zahlreiche Überwachungsskandale<br />
im Zusammenhang mit dem Beschäftigtendatenschutz wurden<br />
durch sog. „Whistleblower“ aufgedeckt. 20 Dabei handelt es sich<br />
in der Regel um Beschäftigte, die entweder intern vergeblich<br />
nach Abhilfe gesucht oder extern die Skandale an die Öffentlichkeit<br />
gebracht haben. Viele <strong>Daten</strong>skandale wären <strong>ohne</strong> Whistleblower<br />
nicht öffentlich geworden. Erinnert sei an das Beispiel<br />
der Deutschen Bahn AG, 21 die (mit äußerst dürftigen Erfolgen<br />
für die Compliance) heimlich und nahezu flächendeckend die<br />
Kontonummern ihrer Beschäftigten mit den Kontoverbindungsdaten<br />
ihrer Zulieferer abgeglichen hatte. Bei der Deutschen<br />
Bank soll die elektronische Kommunikation zwischen Aufsichtsratsmitglied,<br />
aber auch einer Vielzahl von Beschäftigen und<br />
einem Dritten ausgewertet worden sein, um Kontakte zu Abgeordneten,<br />
Ärzten und anderen Geheimnisträgern (vgl. § 203<br />
StGB), zu Massenmedien und ihren Mitarbeitern, zu politischen<br />
Parteien und Gewerkschaften zu ermitteln. 22 So sollen diverse<br />
Stellen vor der Einstellung von Beschäftigten flächendeckend und<br />
obligatorisch Drogen- bzw. Bluttests vorgenommen haben. 23<br />
Zahlreiche dieser <strong>Daten</strong>erhebungen erfolgten im Zusammenhang<br />
mit der Umsetzung von Compliance, über die das BDSG<br />
bislang keine näheren Aussagen macht. Der Begriff Compliance<br />
wird häufig als die Gesamtheit der organisatorischen Maßnahmen<br />
verstanden, die erforderlich sind, damit sich ein Unternehmen<br />
im Ganzen rechtskonform verhält. <strong>Schutz</strong>gegenstand von<br />
Compliance ist also nicht nur die Einhaltung von zwingenden<br />
gesetzlichen Vorgaben. Es besteht Anlass genug, sich mit dem<br />
Verhältnis der berechtigten Anliegen von Compliance zum <strong>Daten</strong>schutz<br />
zu befassen und die Klärung durch gesetzliche Regelungen<br />
anzustoßen. 24 Entsprechendes gilt für die lähmende Unsicherheit,<br />
die durch die „wilde“ Überwachung am Arbeitsplatz<br />
entstanden ist, die durch normenklare gesetzliche Regelungen<br />
behoben werden muss. Das gilt umso mehr, als mangels klarer<br />
Regelungen im Arbeitsrecht bislang fast nur richterrechtlich entwickelte<br />
<strong>Daten</strong>schutzstandards gelten. Der Gesetzgeber ist<br />
zwar nicht gehalten, erprobtes Richterrecht gesetzlich zu fassen.<br />
Aber bislang gerichtlich gesichertes <strong>Schutz</strong>niveau im Interesse<br />
des Persönlichkeitsrechts der Beschäftigten sollte bei den<br />
neuen Spezialnormen in Betracht gezogen werden.<br />
IV. Stand der Regelungen<br />
Außerhalb des BDSG gibt es eine Vielzahl von Gesetzen und<br />
Rechtsverordnungen, die den Umgang von Arbeitgebern25 mit<br />
personenbezogenen Beschäftigtendaten26 regeln. 27 Sie werden<br />
durch eine Regelung des Beschäftigtendatenschutzes im BDSG<br />
nicht ersetzt; sie würden andernfalls aus ihrem bereichsspezifischen<br />
Sachzusammenhang gerissen. Insoweit bleibt es bei § 1<br />
Abs. 3 BDSG, wonach dieses Gesetz bereichsspezifische Sonderregelungen<br />
zum Umgang mit personenbezogenen <strong>Daten</strong> unberührt<br />
lässt.<br />
1. Vorgaben im (noch) gültigen § 32 BDSG<br />
Als einen ersten Schritt zur Regelung des Beschäftigtendatenschutzes<br />
hat der Gesetzgeber der 16. Legislaturperiode § 32<br />
BDSG als grundsätzlich abschließende Regelung für den Umgang<br />
mit Beschäftigtendaten in das BDSG eingefügt. Die Regelung<br />
in § 32 Abs. 1 Satz 1 BDSG tritt für Beschäftigungsverhältnisse<br />
an die Stelle des § 28 Abs. 1 Nr. 1 BDSG. Die Regelungen in<br />
den drei Absätzen des § 32 BDSG sind in der Literatur vielfach<br />
und mit unterschiedlichen Ergebnissen analysiert worden. 28 Angesichts<br />
dessen sollen die Kritikpunkte an dieser Stelle nicht vertieft<br />
werden. Im Folgenden wird vielmehr der Versuch unternommen,<br />
Fragen um die neueren Bemühungen zur Weiterentwicklung<br />
des Beschäftigtendatenschutzes im BDSG zu untersuchen.<br />
12 Vgl. BVerfGE 65, 1, 46.<br />
13 Vgl. BVerfGE 65, 1, 46.<br />
14 Vgl. BVerfGE 65, 1, 46.<br />
15 Zu dem Problem, inwieweit Beschäftigte IT-Systeme des Arbeitgebers als eigene<br />
nutzen, vgl. BVerfG MMR 2008, 315, sowie anhand eines Fallbeispiels Petri, in:<br />
Kartmann/Ronellenfitsch (Hrsg.), Vorgaben des Bundesverfassungsgerichts für eine<br />
zeitgemäße <strong>Daten</strong>schutzkultur in Deutschland, 2009, S. 55 ff.<br />
16 Vgl. BVerfG MMR 2008, 315.<br />
17 Vgl. dazu z.B. Petri, Compliance und <strong>Daten</strong>schutz, in: Schweighofer et al.<br />
(Hrsg.), Globale Sicherheit und proaktiver Staat, 2010, S. 305 ff.<br />
18 Die Presse berichtet in Einzelfällen auch über öffentliche Stellen, die in der Vergangenheit<br />
<strong>Daten</strong>schutzverstöße im Beschäftigtendatenschutz begangen haben<br />
sollen, wobei das Ausmaß deutlich geringer auszufallen scheint; vgl. z.B. Nürnberger<br />
Zeitung v. 21.7.2009, Fürther Schulamt im Visier der <strong>Daten</strong>schützer.<br />
19 Blickpunkt Bundestag Spezial, <strong>Daten</strong>schutz im Informationszeitalter, Oktober<br />
2008, S. 5.<br />
20 Tinnefeld/Rauhofer, DuD 2008, 717 ff. m.w.Nw.<br />
21 Vgl. BlnBDI JB 2010, Kap. 10.1: „Deutsche Bahn stellt Weichen für besseren Arbeitnehmerdatenschutz.<br />
Danach wurden in den Jahren 2002 bis 2005 die Ergebnisse<br />
der anlasslosen Abgleiche gespeichert.“<br />
22 Vgl. z.B. Spiegel 23/2008, S. 20 ff.<br />
23 Vgl. nordbayern.de v. 5.11.2009, Urinproben bei der N-Ergie, Bluttests bei<br />
Daimler.<br />
24 Vgl. Koalitionsvertrag zwischen CDU, CSU und FDP der 17. Legislaturperiode,<br />
„Wachstum. Bildung. Zusammenhalt“, S. 106, 132 unter „Arbeitnehmerdatenschutz“.<br />
25 Zum Begriff Arbeitgeber vgl. § 3 Abs. 13 BDSG-E.<br />
26 Zum Begriff Beschäftigtendaten vgl. § 3 Abs. 12 BDSG-E, zum Begriff des Beschäftigten<br />
vgl. den bereits geltenden § 3 Abs.11 BDSG.<br />
27 Solche Verarbeitungsregeln enthalten z.B.: AEntG, AFBG, AGG, AktG, AltZG, AO,<br />
ArbMedV, ArbSchG, ArbSiG, ArbZG, AÜG, AufenthG, AWG, BbiG, BetrVG, BGB,<br />
BildscharbV, BKV, DEÜV, EntgFG, EStG, FeV, FreizügG/EU, GenG, GenDG, GewO,<br />
GGBefG, GefStoffV, HeimarbeitsG, HGB, IfSG, JArbSchG, KUrhG, LadSchlG, Luft-<br />
SiG, SGB 2–7, 9–10, SÜG, StGB, StPO, StVG, TKG, TMG, UrhG, VVG, ZPO.<br />
28 Vgl. statt vieler aus jüngster Zeit: Albrecht/Maisch, DSB 3/2010, S. 11 ff.; Behling,<br />
BB 2010, 892 ff.; Beisenherz/Tinnefeld, DuD 2010, 221 ff.; Forst, RDV 2010,<br />
8ff.;Kamp/Körffer, RDV 2010, 72 ff.; Kramer, DSB 5/2010, 14 ff.; Salvenmoser/<br />
Hauschka, NJW 2010, 331 ff.; vgl. auch die Beiträge von Däubler, Gläserne<strong>Belegschaften</strong>,<br />
5. Aufl., Rdnr. 183; Gola/Wronka, Hdb. zum Arbeitnehmerdatenschutz,<br />
5. Aufl., Rdnr. 847 ff.; Gola, <strong>Daten</strong>schutz und Multimedia am Arbeitsplatz, 3. Aufl.,<br />
Rdnr. 137 ff.
2. Allgemeine und kritische Einzelaspekte im<br />
BDSG-E<br />
Der Gesetzgeber strebt mit dem Gesetz zum Beschäftigtendatenschutz<br />
vor allem Rechtssicherheit für alle Beteiligten an. 29 Sie<br />
kann nur dann gefunden werden, wenn<br />
normenklare, systematisch nachvollziehbare Regelungen getroffen<br />
werden, die grundsätzlich zu keinen Abgrenzungsproblemen<br />
führen (z.B. bei Massendatenabgleichen oder bei der Videoüberwachung);<br />
Maßnahmen des Arbeitgebers/Dienstherrn dem Gebot der<br />
Erforderlichkeit unterworfen werden. Die Erforderlichkeit verweist<br />
auf Strukturen und Zusammenhänge, die regelmäßig empirischer<br />
Natur sind. Sie bringt rechtsrelevante Tatsachen (z.B.<br />
Korruption oder Betrug) und die rechtliche Beurteilung dieser<br />
Tatsachen (datenschutzrechtlich, strafrechtlich usw.) in einen<br />
nachvollziehbaren Zusammenhang.<br />
a) § 4 Abs. 1 Satz 2, § 32l Abs. 1, 5 BDSG-E:<br />
Erlaubnisnormen i.S.d. BDSG<br />
Der Entwurf sieht die Ergänzung des § 4 Abs. 1 durch einen weiteren<br />
Satz ausdrücklich vor, wonach andere Rechtsvorschriften<br />
i.S.d. Gesetzes auch Betriebs- oder Dienstvereinbarungen sein<br />
können. 30<br />
Als Teilkodifikation des Arbeits- und Dienstrechts<br />
können sie eigenständig betriebliche bzw. dienstliche Sachverhalte<br />
wie Fragen der Verhaltens- und Leistungskontrolle, der<br />
Eignungstests und Auswahlrichtlinien oder bei Einführung der<br />
digitalen Personalakte regeln. Solche Regelungen sind allerdings<br />
nur dann zulässig, wenn und soweit sie mit höherrangigem<br />
Recht vereinbar sind. 31 Insbesondere müssen sie<br />
den gebotenen Grundrechtsstandard beachten (z.B. nur<br />
i.R.d. Erforderlichen in das Recht auf informationelle Selbstbestimmung/Recht<br />
auf Privatheit eingreifen) und<br />
vorrangiges EU-Recht (z.B. Normen der <strong>Daten</strong>schutzrichtlinie<br />
95/46/EG) wahren. 32<br />
Nach § 32l Abs. 5 BDSG darf von den Vorschriften der §§ 32–<br />
32l allerdings nicht zu Ungunsten der Beschäftigten abgewichen<br />
werden. Im Grundsatz ist diese Regelung zu begrüßen,<br />
auch wenn hierdurch in Einzelfällen betriebsnahe, sachgerechte<br />
Lösungen ausgeschlossen werden.<br />
Im Zusammenhang mit § 4 Abs. 1 BDSG muss § 32l Abs. 1 eigens<br />
betrachtet werden. Danach ist der Umgang mit personenbezogenen<br />
<strong>Daten</strong> auf Grundlage einer Einwilligung nur zulässig,<br />
wenn der Abschnitt über den Beschäftigtendatenschutz<br />
dies ausdrücklich vorsieht. 33<br />
Die Einwilligung als Rechtsgrundlage für den Umgang mit Beschäftigtendaten<br />
ist im bisherigen Arbeits- und Dienstrecht zu<br />
Recht umstritten. 34 Nach § 4a Abs. 1 Satz 1 BDSG muss die Einwilligung<br />
„auf der freien Entscheidung“ des Betroffenen beruhen.<br />
Indes: Die unterschiedliche Macht der Vertragspartner und<br />
die Angewiesenheit insbesondere des Arbeitnehmers auf den<br />
Erhalt seines Arbeitsplatzes lassen erhebliche Zweifel an der gebotenen<br />
Freiwilligkeit entstehen. 35 Die Einschränkung der Einwilligung<br />
ist auch nach den vorrangigen Regeln der allgemeinen<br />
EG-<strong>Daten</strong>schutzrichtlinie 95/46/EG möglich. Nach Art. 7 lit. a<br />
kann die <strong>Daten</strong>verarbeitung durch eine eindeutige Einwilligung<br />
erlaubt werden, muss es aber nicht.<br />
Grundsätzlich bleibt festzuhalten, dass die Einwilligung nach<br />
gegenwärtiger Rechtslage in den meisten Fällen bereits mangels<br />
Freiwilligkeit offenkundig ausscheiden wird. Das gilt eingeschränkt<br />
für Beamte, Richter und Berufssoldaten, die sich auf<br />
Grund der Stabilität ihres Dienstverhältnisses in mehrfacher Hinsicht<br />
von Arbeitnehmern in der Privatwirtschaft deutlich unterscheiden.<br />
Vor diesem Hintergrund verfolgt § 32l Abs. 1 einen<br />
begrüßenswerten Ansatz, weil er die Zulässigkeit der Einwilligung<br />
eindeutig regelt. Allerdings schießt die Vorschrift über das<br />
Ziel hinaus. In wissenschaftlichen Einrichtungen präsentieren<br />
z.B. Forscher häufig auf der Homepage ihrer Institution ihre Arbeiten,<br />
um im Wissenschaftsbetrieb ihre Kontakte ausbauen zu<br />
können. Warum soll hier eine Einwilligung als Rechtsgrundlage<br />
ausscheiden, wenn die legitimierte <strong>Daten</strong>verarbeitung ausschließlich<br />
Zwecken dient, die für den Beschäftigten günstig<br />
sind?<br />
b) § 27 Abs. 3 BDSG-E: Verzicht auf Dateierfordernis<br />
§ 27 Abs. 3 bildet inhaltlich die noch geltende Vorschrift § 32<br />
Abs. 2 BDSG ab. Damit wird der Beschäftigtendatenschutz<br />
technologieneutral geregelt. In der „digitalen“ Welt ist der Einsatz<br />
von EDV-Anlagen Standard und in irgendeiner Phase der<br />
<strong>Daten</strong>verarbeitung immer zu erwarten. Der sonstige nichtautomatisierte<br />
Umgang mit personenbezogenen <strong>Daten</strong> (der berühmte<br />
„Merkzettel“) wird heute bereits in der Praxis der Aufsichtsbehörden<br />
regelmäßig übergangen. Aus dem Umstand,<br />
dass die EU-<strong>Daten</strong>schutzrichtlinie Vorgaben nur für automatisiert<br />
oder in aus Dateien verarbeiteten <strong>Daten</strong> macht, folgt kein<br />
Verbot an den nationalen Gesetzgeber, weitergehende Regelungen<br />
zu erlassen (vgl. Erwägung 10, Art. 3 der RL).<br />
V. Übersicht der einzelnen Bestimmungen<br />
im BDSG-E<br />
1. <strong>Daten</strong>erhebung vor Begründung des<br />
Beschäftigtenverhältnisses nach § 32 BDSG-E<br />
Die geplante Neuregelung befasst sich mit den konkreten Zwe-<br />
29 Vgl. BR-Drs. 535/10, S. 1 f.<br />
30 Vgl. BR-Drs. 535/10, S. 2.<br />
31 Vgl. z.B. Brandt, DuD 2010, 213 ff.<br />
32 So ist wohl auch Gola (o. Fußn. 28), Rdnr. 349-351 zu verstehen, wonach es den cken, zu denen Bewerberdaten erhoben werden dürfen. Bereits<br />
Betriebsparteien im Ergebnis (nur?) zustehe, den Beschäftigten „mehr“ an <strong>Daten</strong>- der Entwurf des BDatG<br />
schutz zu gewähren, als es der Gesetzgeber vorgesehen habe.<br />
33 Ähnlich bereits § 4 Abs. 1 des Entwurfs eines Beschäftigtendatenschutzgesetzes<br />
– BDatG-E, BT-Drs. 17/69, der von der SPD-Fraktion in den Bundestag eingebracht<br />
wurde.<br />
34 Vgl. dazu bereits Wohlgemuth, <strong>Daten</strong>schutz für Arbeitnehmer, 1988,<br />
Rdnr. 120 ff., sowie Buchner, in: FS für H. Buchner, 2009, S. 159 ff.; Däubler, in:<br />
DKWW, BDSG, § 4a Rdnr. 20 ff., insb. Rdnr. 23; Gola (o. Fußn. 28), Rdnr. 324 ff.<br />
35 Zur Einwilligungsfrage beim Massenscreening Brink/Schmidt, MMR 2010,<br />
592 ff., 593.<br />
36 hatte versucht, die anhand von Einzelfallentscheidungen<br />
entwickelte, umfangreiche arbeitsgerichtliche<br />
Rechtsprechung<br />
36 Vgl. BT-Drs. 17/69.<br />
37 in § 6 Abs. 2 und Abs. 3 zusammenzufassen.<br />
Ganz ähnlich wie § 6 Abs. 2 BDatG-E sieht der vorliegende § 32<br />
in Abs. 1 den Grundsatz der Erforderlichkeit vor, wonach insbesondere<br />
<strong>Daten</strong> über die fachlichen und persönlichen Fähigkei-<br />
37 Vgl. z.B. BAG NJW 2006, 252 ff. u. NJW 1999, 3653 ff. (Vorstrafen); BAG EzA<br />
§ 123 BGB 2002 Nr. 5 und RDV 2003, 86 f. (Stasi-Tätigkeit); BAG BB 2003, 1734 ff.<br />
ten, Kenntnisse und Erfahrungen sowie über die Ausbildung<br />
und den bisherigen beruflichen Werdegang des Beschäftigten<br />
erhoben werden dürfen. Der nach bisherigem Recht <strong>ohne</strong>hin<br />
(Schwangerschaft); NJW 2001, 1885 ff. (Schwerbehinderteneigenschaft).<br />
geltende Grundsatz der Direkterhebung beim Betroffenen38 38 Vgl. § 4 Abs. 2 BDSG.<br />
39 Das BDSG kennt bislang nur das Tatbestandsmerkmal des „unverhältnismäßigen<br />
Aufwands“ als Begrenzung datenschutzrechtlicher Verpflichtung verantwortlicher<br />
Stellen, vgl. z.B. § 3a, § 4 Abs. 2 Nr. 2b BDSG. Ähnlich sieht § 9 Satz 2 BDSG<br />
die Angemessenheit eines technischen und organisatorischen Aufwands vor.<br />
wird in § 32 Abs. 6 der Grundsatz der Verhältnismäßigkeit in<br />
Abs. 7 noch einmal betont. Mit der Einführung des Verhältnismäßigkeitsprinzips<br />
betritt der Entwurf Neuland. 39 Das Verhältnismäßigkeitsgebot<br />
ersetzt hier die bislang üblichen Vorausset-<br />
53
zungen der datenschutzrechtlichen Erforderlichkeit40 und der<br />
Interessenabwägung. Angesichts des regelmäßig anzutreffenden<br />
Über-/Unterordnungsverhältnisses von Arbeitgeber zu Arbeitnehmer<br />
ist dieser Paradigmenwechsel nachvollziehbar.<br />
Besonders gelagerte Fallgruppen werden in § 32 Abs. 2–5 geregelt:<br />
Diskriminierungsverdächtige <strong>Daten</strong> eines Beschäftigten (Rasse,<br />
ethnische Herkunft, Behinderung, sexuelle Identität, Gesundheit,<br />
Vermögensverhältnisse, Vorstrafen oder laufende Ermittlungsverfahren)<br />
dürfen nur unter den Voraussetzungen des<br />
Allgemeinen Gleichbehandlungsgesetzes (§ 8 Abs. 1) angesprochen<br />
werden. Unklar: Vermögensverhältnisse, Vorstrafen<br />
und laufende Ermittlungsverfahren werden vom AGG nicht erfasst.<br />
Die Frage nach der Anerkennung als Schwerbehinderter oder<br />
diesem Gleichgestellten (§ 68 SGB IX) war zwar nach alter<br />
Rechtsprechung zulässig. 41 Wenn die Eignung für den Arbeitsplatz<br />
dadurch nicht beeinträchtigt wird, darf sich der Arbeitgeber<br />
jedoch im Vorfeld des Beschäftigungsverhältnisses nicht dafür<br />
interessieren. In Umsetzung der RL 2000/78/EG leistet der<br />
Gesetzentwurf mit dem Verbot der Frage die notwendige Revision<br />
der BAG-Rechtsprechung.<br />
Konfessions- bzw. Weltanschauungsfragen dürfen in einem<br />
Bewerbungsverfahren dann angesprochen werden, wenn es<br />
um eine Beschäftigung bei einer entsprechenden Gemeinschaft<br />
oder ihr zugeordneten Einrichtung oder Vereinigung geht. Die<br />
Fragen müssen allerdings nach der Art der Tätigkeit erforderlich<br />
sein, z.B. Kindergärtnerin im katholischen Kindergarten ja,<br />
Hausmeister nein. 42<br />
Entsprechendes gilt für weitere Tendenzbetriebe wie Gewerkschaften<br />
oder Presseeinrichtungen, deren Tätigkeit unmittelbar<br />
und überwiegend politisch oder koalitionspolitisch ausgerichtet<br />
ist, oder Einrichtungen zum Zwecke der Berichterstattung<br />
oder Meinungsäußerung (Art. 5 Abs. 1 Satz 2 GG).<br />
Wenig erörtert wurde bislang die Frage, welche <strong>Daten</strong> der Arbeitgeber<br />
<strong>ohne</strong> besonderen Aufwand aus allgemein zugänglichen<br />
Informationen etwa über Suchmaschinen im Internet erlangen<br />
kann. Das neue Gesetz will in § 32 Abs. 6 Satz 2 solche<br />
Recherchen regelmäßig zulassen. Anderes soll nur bei überwiegendem<br />
schutzwürdigen Interesse des Beschäftigten gelten. Bei<br />
der Beurteilung, ob solche schutzwürdigen Belange berührt<br />
sind, kommt es weniger darauf an, wie leicht der Arbeitgeber<br />
solche <strong>Daten</strong> „allgemein zugänglich“ findet, sondern ob sie erkennbar<br />
rechtmäßig, gar mit Billigung des Betroffenen dort eingestellt<br />
wurden. Zu beachten ist die Vorgabe von Art. 8 Abs. 2<br />
lit. e) der <strong>Daten</strong>schutzrichtlinie 95/46/EG, wonach die Erhebung<br />
besonderer Arten personenbezogener <strong>Daten</strong> nur zulässig ist,<br />
wenn sie sich auf <strong>Daten</strong> bezieht, die die betroffene Person selbst<br />
offenkundig öffentlich gemacht hat. 43 Deshalb geht Kritik fehl,<br />
dass der Nachweis einer <strong>Daten</strong>erhebung aus allgemein zugänglichen<br />
Quellen nicht zu führen sei. Allerdings ist die Frage zu stellen,<br />
ob § 32 Abs. 6 nicht die Vorgabe des Art. 8 Abs.2 lit. e) der<br />
RL hätte klarer abbilden können.<br />
Personenbezogene <strong>Daten</strong> aus „sozialen Netzwerken“ 44 soll der<br />
Arbeitgeber nach § 32 Abs. 6 Satz 2 grundsätzlich nicht erheben<br />
dürfen, es sei denn, die dort veröffentlichten <strong>Daten</strong> dienen<br />
gerade zur Darstellung der beruflichen Qualifikation des betroffenen<br />
Bewerbers.<br />
Mit Einwilligung des Beschäftigten soll der Arbeitgeber nach<br />
§ 32 Abs. 6 Satz 3 zukünftig auch bei sonstigen45 Dritten personenbezogene<br />
<strong>Daten</strong> des Beschäftigten erheben dürfen und<br />
dem Beschäftigten auf Verlangen Auskunft über den Inhalt der<br />
erhobenen <strong>Daten</strong> erteilen. In keinem Fall dürfen dabei die bisher<br />
durch die Rechtsprechung gezogenen Grenzen des zulässigen<br />
Fragerechts verletzt werden. 46 Die Vorschrift erscheint sachge-<br />
54<br />
recht, weil sie die weithin übliche Praxis der Referenzen berücksichtigt.<br />
2. Ärztliche Untersuchungen und Eignungstests<br />
vor Begründung eines Beschäftigungsverhältnisses<br />
nach § 32a BDSG-E<br />
Nach § 32a Abs. 1 darf der Arbeitgeber den Gesundheitszustand<br />
des Bewerbers etwa durch einen Werksarzt überprüfen<br />
lassen, wenn die Erfüllung bestimmter gesundheitlicher Voraussetzungen<br />
für die in Aussicht genommene Arbeit von wesentlicher<br />
und entscheidender Bedeutung ist. 47 Maßgeblich ist dabei<br />
der Zeitpunkt der Arbeitsaufnahme. Der Arbeitgeber kann Angaben<br />
über eine etwaige Behinderung also nur noch tätigkeitsbezogen<br />
verlangen und <strong>ohne</strong> darauf abzustellen, ob es sich um<br />
eine „einfache“ oder eine „schwere“ Behinderung handelt. 48<br />
Damit sind generelle Untersuchungen des Blutbilds oder von<br />
Urinproben nach der geplanten Regelung jedenfalls unzulässig.<br />
Diese Anforderungen stehen im Einklang mit der jüngeren arbeitsgerichtlichen<br />
Rechtsprechung. 49 Für gendiagnostische Untersuchungen<br />
gelten die spezielleren Vorschriften des GenDG.<br />
Voraussetzung einer Einstellungsuntersuchung soll sein, dass<br />
der Beschäftigte in die Untersuchung nach Aufklärung über deren<br />
Art und Umfang sowie in die Weitergabe des Untersuchungsergebnisses<br />
an den Arbeitgeber eingewilligt hat. Der Beschäftigte<br />
hat den Anspruch auf Mitteilung des Untersuchungsergebnisses;<br />
der Arbeitgeber darf nur erfahren, ob der Beschäftigte<br />
nach dem Untersuchungsergebnis für die vorgesehenen<br />
Tätigkeiten geeignet ist. In die Offenbarung weiterer Angaben<br />
kann der Beschäftigte nicht einwilligen, vgl. § 32l Abs. 1. Hinsichtlich<br />
des Einwilligungserfordernisses nach § 32a Abs. 1<br />
Satz 2 stellt sich die Frage, ob die Einwilligung angesichts der<br />
Situation des Bewerbers sachgerecht ist. Will der Bewerber den<br />
angestrebten Arbeitsplatz erhalten, wird er regelmäßig keine<br />
andere Wahl haben, als in die Untersuchung einzuwilligen. Ähnliche<br />
Anforderungen werden nach Abs. 2 an Eignungstests etwa<br />
durch Psychologen gestellt, die für die Feststellung erforderlich<br />
sind, ob der Beschäftigte zum Zeitpunkt der Arbeitsaufnahme<br />
für die vorgesehenen Tätigkeiten geeignet ist.<br />
3. <strong>Daten</strong>verarbeitung und -nutzung vor<br />
Begründung des Beschäftigtenverhältnisses nach<br />
§ 32b BDSG-E<br />
Die geplante Neuregelung gibt eine Antwort auf die Frage, wie<br />
erhobene <strong>Daten</strong> vor Begründung eines Beschäftigungsverhältnisses<br />
und zu welchen Zwecken sie weiterverwendet werden<br />
dürfen. Hier gilt der Grundsatz, dass nur legal erhobene oder erhaltene<br />
<strong>Daten</strong> vom Arbeitgeber verwendet werden dürfen, die<br />
für diesen konkreten Zweck erforderlich sind. Falls die Bewerbung<br />
scheitert, müssen die <strong>Daten</strong> fristgemäß gelöscht werden.<br />
Der Beschäftigte soll allerdings auch in eine weitere Speicherung<br />
seiner Bewerbungsdaten einwilligen können, etwa um sich weitere<br />
Chancen auf einen (anderen) Arbeitsplatz beim Arbeitgeber<br />
erhalten zu können. Hier ist die Einwilligung sachgerecht.<br />
40 Dazu vgl. z.B. Sokol, in: Simitis, BDSG, § 13 Rdnr. 25 ff.<br />
41 Vgl. dazu BR-Drs. 353/10, S. 28 zu § 32 Abs. 3.<br />
42 Beachtlich ist in diesem Zusammenhang das am 23.9.2010 (Az. 425/03) ergangene<br />
Urteil des EGMR mit Hinweis auf das Erfordernis der Funktionsbezogenheit<br />
ungeachtet des Charakters eines kirchlichen Tendenzbetriebs.<br />
43 Die in Art. 8 Abs. 2 lit. e) genannte zweite Erlaubnis zur <strong>Daten</strong>verarbeitung<br />
scheidet hier aus, sie betrifft die sachgerechte Rechtsverteidigung.<br />
44 Dieser Begriff wird im Gesetzesentwurf nicht definiert.<br />
45 Nach der Gesetzesbegründung stellt die Erhebung aus allgemeinen zugänglichen<br />
Quellen häufig auch eine <strong>Daten</strong>erhebung bei Dritten dar, das soll das Tatbestandsmerkmal<br />
„sonstige Dritte“ verdeutlichen, vgl. BR-Drs. 353/10, S. 30.<br />
46 Das stellt die Begr. zu § 32 Abs. 6 klar, vgl. BR-Drs. 353/10, S. 30.<br />
47 Zu Blutuntersuchungen vor der Einstellung vgl. z.B. Forst, RDV 2010, 8 ff.<br />
48 Vgl. dazu und zum Folgenden auch Bayreuther, NZA 2010, 679 ff.<br />
49 Vgl. BAG NZA 2010, 383 ff.
4. <strong>Daten</strong>erhebung im Beschäftigungsverhältnis<br />
nach § 32c BDSG-E<br />
Die Überwachungsskandale in den vergangenen Jahren betrafen<br />
– wie bei der unzulässigen Beobachtung der Beschäftigten<br />
durch Videokameras – zumeist verdeckte <strong>Daten</strong>erhebungen, im<br />
Übrigen häufig die unzulässige Auswertung von <strong>Daten</strong> (z.B. von<br />
E-Mail-Verkehrsdaten). Die Neuregelung konkretisiert die <strong>Daten</strong>zwecke,<br />
für die der Arbeitgeber <strong>Daten</strong> zulässigerweise offen<br />
erheben kann (z.B. zur Erfüllung gesetzlicher Meldepflichten<br />
oder Zahlungspflichten gegenüber dem Beschäftigten oder zur<br />
Verhaltens- und Leistungskontrolle; im Kontext der Videoüberwachung<br />
vgl. die Spezialregelung in § 32f BDSG-E). Problematisch<br />
auch im laufenden Beschäftigungsverhältnis ist insbesondere<br />
die Forderung einer ärztlichen Untersuchung oder von<br />
Tests, um die (fortbestehende) Eignung des Beschäftigten zu<br />
überprüfen. 50<br />
Da es sich hier um besondere Arten personenbe-<br />
zogener <strong>Daten</strong> handelt, die speziell auch für einen missbräuchlichen<br />
Konkurrenzkampf oder zum Zwecke der „Abschiebung“<br />
etwa wegen einer vorübergehenden schweren Krankheit oder<br />
wegen des Alters durch den Chef zu befürchten sind, müssen<br />
die Anforderungen präzise gestaltet werden. Vor einer Überprüfung<br />
müssen nach § 32c Abs. 3<br />
tatsächliche Anhaltspunkte vorliegen, die Zweifel an der fortdauernden<br />
Eignung des Beschäftigten begründen, oder<br />
muss ein Wechsel seiner Tätigkeit oder seines Arbeitsplatzes<br />
beabsichtigt sein.<br />
Zu einer Dokumentationspflicht der Anordnungsgründe konnte<br />
sich die Bundesregierung nicht durchringen, obwohl eine solche<br />
Verfahrensgestaltung gleichzeitig dem datenschutzrechtlichen<br />
Transparenzgebot dienen würde. Im Übrigen gelten die Bestimmungen<br />
des § 32 Abs. 2–6 weitgehend entsprechend. Warum<br />
§ 32c Abs. 4 gerade das Verhältnismäßigkeitsprinzip ausdrücklich<br />
statuiert, anstatt auf den identisch lautenden § 32 Abs. 7 zu<br />
verweisen, ist nicht klar.<br />
5. <strong>Daten</strong>verarbeitung und -nutzung im<br />
Beschäftigtenverhältnis nach § 32d BDSG-E<br />
Im Zentrum des Regelungsentwurfs stellen sich folgende Fragen:<br />
Zu welchen Zwecken dürfen erhobene <strong>Daten</strong> im Beschäftigungsverhältnis<br />
weiterverarbeitet werden? Ist eine <strong>Daten</strong>verwendung<br />
zu anderen Zwecken zulässig? Die Zweckbestimmung<br />
ist seit dem Volkszählungsurteil das tragende Prinzip des <strong>Daten</strong>schutzrechts.<br />
Sie fördert das Vertrauensverhältnis im Arbeitsund<br />
Dienstverhältnis, da die Beschäftigten dadurch sicher sein<br />
können, dass ihre <strong>Daten</strong> nicht anderweitig und zu zweifelhaften<br />
Zwecken entfremdet werden. Daher gelten für die <strong>Daten</strong>verwendung<br />
die zuvor bereits genannten Maßstäbe. Sie sind auch im Hinblick<br />
auf Konzernunternehmen von besonderem Interesse.<br />
Anders ist die Situation, wenn die vorhandenen <strong>Daten</strong> nach<br />
§ 32d Abs. 3 dafür verwendet werden sollen, um Pflichtverletzungen<br />
oder Straftaten aufzudecken oder zu verhindern. Auch<br />
im Beschäftigungsverhältnis begangene Ordnungswidrigkeiten<br />
können so verfolgt werden, wenn sie schwere Pflichtverletzun-<br />
50 Vgl. z.B. BAG NJW 2000, 604 ff.; BVerwG NJW 1991, 1317, 1318; Bengelsdorf,<br />
in: Bauer u.a. (Hrsg.), FS für H. Buchner, 2009, S. 108 ff.; Mengel, Compliance und<br />
Arbeitsrecht, Kap. 2 Rdnr. 19; vgl. Wedde, in: Sommer u.a. (Hrsg.), Im Netz@work,<br />
2003, S. 55, 60 ff. m.w.Nw.; s.a. HmbBfDI v. 2.7.2010: Bluttests bei Einstellungsuntersuchungen.<br />
51 BR-Drs. 353/10, S. 35.<br />
52 BR-Drs. 353/10, S. 35.<br />
53 Vgl. Presseerklärung des BayLfD v. 26.8.2010: Beschäftigtendatenschutz –<br />
Bundesregierung geht Schritt in die richtige Richtung.<br />
54 Dazu ausf. Brink/Schmidt, MMR 2010, 592 ff.<br />
55 Damit soll die langjährige Speicherung von <strong>Daten</strong> unterbunden werden, wie sie<br />
z.B. bei der Deutschen Bahn AG erfolgte, selbst wenn die Ergebnisse einen Korruptionsverdacht<br />
nicht bestätigten, vgl. BlnBDI JB 2009, Kap. 10.1, S. 138.<br />
gen darstellen. 51 Hier soll der Regelungsentwurf insbesondere<br />
zur Aufdeckung von Straftaten nach §§ 266, 299, 331–334<br />
StGB, allesamt typische Korruptionstatbestände, auch anlasslos<br />
<strong>Daten</strong>abgleiche gestatten.<br />
I.S.d. § 3a BDSG dürfen derartige Abgleiche zunächst nur in<br />
anonymisierter oder pseudonymisierter Form durchgeführt werden.<br />
Erst wenn sich aus den Abgleichergebnissen tatsächliche<br />
(und zu dokumentierende) Anhaltspunkte für bestimmte<br />
Rechtsverstöße ergeben, dürfen die <strong>Daten</strong> im erforderlichem<br />
Umfang personalisiert werden. 52 Nach Maßgabe des Abs. 3 Satz 3<br />
sind die betroffenen Beschäftigten zu unterrichten.<br />
§ 32d Abs. 3 soll anlasslos verdachtsfreie Abgleiche ermöglichen,<br />
soweit hiermit nur hinreichend gewichtige Rechts- oder Pflichtverletzungen<br />
der Beschäftigten verfolgt werden können. Dieser<br />
Ansatz steht in einem merkwürdigen Spannungsverhältnis zu der<br />
Empörung, die im Zusammenhang mit den Massendatenabgleichen<br />
zur Korruptionsbekämpfung seitens der Bahn AG und anderer<br />
Großunternehmen aufbrandete. U.a. diese Massendatenabgleiche<br />
waren der maßgebliche Anlass für die jetzt vorgeschlagenen<br />
Gesetzesänderungen. 53 Dass die Abgleiche zunächst anonymisiert<br />
oder pseudonymisiert erfolgen sollen, ist kein starker<br />
<strong>Schutz</strong> für die Betroffenen. Denn sobald diese datensparsamen<br />
Abgleiche zu greifbaren Ergebnissen führen, soll der Personenbezug<br />
hergestellt werden. Als Fazit kann zu dieser Vorschrift festgehalten<br />
werden, dass der Entwurf zwar mit Klarstellungen auf die<br />
vergangenen missbräuchlichen Massendatenabgleiche reagiert,<br />
aber nicht auf eine Verbesserung der <strong>Daten</strong>schutzrechtslage der<br />
Beschäftigten abzielt. Überzeugender wäre es daher, wenn der<br />
Gesetzentwurf zu den Maximen des § 32 Abs. 1 Satz 2 BDSG zurückkehrte:<br />
Keine anlasslosen Massen-Screenings mit personenbezogenen<br />
<strong>Daten</strong>, solche „Rasterfahndungen“ dürfen nur mit<br />
anonymisierten <strong>Daten</strong> durchgeführt werden. Hinweisen auf Betrug<br />
oder Korruption im Unternehmen kann dann – wie bisher –<br />
die Innenrevision im Wege von Stichproben nachgehen. 54<br />
6. <strong>Daten</strong>erhebung <strong>ohne</strong> Kenntnis des<br />
Beschäftigten zur Aufdeckung und Verhinderung<br />
von Straftaten und Pflichtverletzungen im<br />
Beschäftigtenverhältnis nach § 32e BDSG-E<br />
Ob das Anliegen der Bundesregierung gelungen ist, einen angemessenen<br />
Ausgleich zwischen den Erfordernissen einer effektiven<br />
Compliance und dem <strong>Daten</strong>schutz herzustellen, kann insbesondere<br />
an den Vorschriften zur heimlichen Überwachung<br />
von Beschäftigten beurteilt werden. Die Vorschrift in § 32e erlaubt<br />
im Grundsatz nur die offene Erhebung von Beschäftigtendaten,<br />
Abs.1. Eine heimliche Erhebung von Beschäftigtendaten<br />
ist nach den Abs. 2–7 nur unter strengen Voraussetzungen zugelassen.<br />
Zu beachten ist, dass Abs. 2 auf die Erhebung von Beschäftigtendaten<br />
des einzelnen Beschäftigten abstellt, heimliche<br />
Massendatenerhebungen sind deshalb von vorneherein<br />
unzulässig. § 32e setzt für die heimliche <strong>Daten</strong>erhebung zunächst<br />
voraus, dass Tatsachen den Verdacht einer schwerwiegenden<br />
Pflichtverletzung oder einer im Beschäftigtenverhältnis<br />
begangenen Straftat seitens des überwachten Beschäftigten begründen.<br />
Weiterhin muss sie zur Aufklärung der begangenen<br />
oder Verhinderung künftiger schwerer Verfehlungen erforderlich<br />
sein (Abs. 2) und überdies dem Verhältnismäßigkeitsprinzip genügen<br />
(Abs. 3). Auch der zeitliche Umfang der <strong>Daten</strong>erhebung und<br />
-verwendung wird grundsätzlich eng begrenzt (Abs. 4, Abs. 6). 55<br />
Vor dem Hintergrund der Überwachungsskandale der Vergangenheit<br />
von besonderer Bedeutung ist die nach Abs. 5 bestehende<br />
Pflicht des Arbeitgebers, die den Verdacht begründenden<br />
Tatsachen vor der <strong>Daten</strong>erhebung zu dokumentieren und die<br />
Beschäftigten nachträglich zu unterrichten. Mit der Dokumentationspflicht<br />
reagiert der Entwurf insoweit sachgerecht auf Fälle<br />
55
der heimlichen Beschäftigtenüberwachung, in denen Überwachungsaufträge<br />
mündlich vergeben wurden und deshalb teilweise<br />
nur auf Grund von Rechnungen extern beauftragter Dienstleistungsunternehmen<br />
rekonstruiert werden konnten. Die Dokumentationspflicht<br />
ermöglicht eine nachträgliche Rechtmäßigkeitskontrolle,<br />
die Unterrichtung des Beschäftigten versetzt diesen in die<br />
Lage, eine solche Rechtmäßigkeitskontrolle anzustoßen.<br />
In der Unterrichtungspflicht könnte in der Praxis künftig ein<br />
Hauptvollzugsproblem der Vorschrift liegen, weil die Einhaltung<br />
der Informationspflicht von dem betroffenen Beschäftigten häufig<br />
nicht kontrollierbar sein dürfte. Die in der Literatur vertretene<br />
Konsequenz, die rechtswidrige heimliche <strong>Daten</strong>erhebung mit<br />
einem Verwertungsverbot zu belegen, 56 nimmt der Entwurf nicht<br />
ausdrücklich auf. Angesichts der bisherigen Rechtsprechung zum<br />
Verbot der Verwertbarkeit rechtswidrig heimlich erhobener Da-<br />
ten 57<br />
56<br />
besteht allerdings die Aussicht, dass zumindest in bestimm-<br />
ten Fallgruppen ein Verwertungsverbot de lege lata entstehen<br />
wird. Ob rechtswidrig gewonnene <strong>Daten</strong> künftig zu Vortragsverwertungsverboten<br />
des Arbeitgebers z.B. in Kündigungsschutzprozessen<br />
führen, dürfte allerdings eher unwahrscheinlich sein. 58<br />
Die Vorschrift enthält auch eine Klausel zum <strong>Schutz</strong> des Kernbereichs<br />
privater Lebensgestaltung. Legt man die gefestigte Rechtsprechung<br />
des BVerfG zum Kernbereich privater Lebensgestaltung<br />
zu Grunde, dürfte § 32e Abs. 7 allenfalls selten zur Anwendung<br />
kommen. 59 Untersagt wäre danach z.B. das Abhören von<br />
Äußerungen innerster Gefühle oder bestimmte Ausdrucksformen<br />
der Sexualität. 60 Man wird den <strong>Schutz</strong>bereich der Vorschrift<br />
wohl ähnlich wie den des § 201a StGB auslegen müssen, wobei<br />
die untersagte <strong>Daten</strong>erhebung nicht nur durch Bildaufnahmen<br />
geschehen kann.<br />
So notwendig die tatbestandlichen Begrenzungen der heimlichen<br />
Beschäftigtenüberwachung durch den Entwurf sind: Bei<br />
einer Gesamtbetrachtung der Vorschrift ist gleichwohl die Frage<br />
aufzuwerfen, aus welchen Gründen der Arbeitgeber zur Straftatenverfolgung<br />
befugt sein soll. Der Entwurf ermöglicht damit<br />
den Arbeitgebern in Beschäftigtenverhältnissen, ähnlich wie<br />
Strafverfolgungsbehörden gegen Beschäftigte zu ermitteln, um<br />
begangene Straftaten aufzuklären. Eine heimliche <strong>Daten</strong>erhebung,<br />
die <strong>ohne</strong> schwerwiegenden Anlass (z.B. ein schwerer Betrug<br />
oder Untreue) durchgeführt wird, macht indes den Mitarbeiter<br />
zu einem „Risikopartner“ und gefährdet jedes Vertrauensverhältnis.<br />
Selbstverständlich ist es dem Arbeitgeber nicht<br />
zuzumuten, schwerwiegende Beeinträchtigungen seiner<br />
Rechtsgüter <strong>ohne</strong> Gegenwehr hinzunehmen. Die Verfolgung<br />
begangener Straftaten ist jedoch Sache des Staates.<br />
7. Beobachtung nicht öffentlich zugänglicher<br />
Betriebsstätte mit optisch elektronischen<br />
Einrichtungen (Videoüberwachung) nach § 32f<br />
BDSG-E)<br />
Der Einsatz betrieblicher/dienstlicher Videoüberwachung<br />
nimmt zu. Diese Technik hat eine besonders hohe Eingriffsqualität,<br />
da der Einzelne bildlich in seinen Bewegungen, Stimmungen<br />
usw. erfasst wird. Auch i.R.d. Überwachungsskandale spielten<br />
verdeckte Kameras eine zentrale Rolle, die Beschäftigte bis in die<br />
Intimsphäre hinein (z.B. auf Toiletten) beobachteten.<br />
Bislang sind die Regeln zur Videoüberwachung in § 6b BDSG<br />
auf die Beobachtung öffentlich zugänglicher Räume (Ladenpassagen,<br />
Bankfilialen usw.), nicht aber auf nicht öffentlich zugängliche<br />
Betriebsstätten anwendbar. Bei diesen besteht eine gesetzlich<br />
ungeregelte Situation, die – wie oben bereits angedeutet –<br />
durch richterrechtliche Grundsätze ausgefüllt wird. Die Neuregelung<br />
in § 32f will diesen Zustand ändern und trifft eine Regelung<br />
für abschließend festgelegte Zwecke (zur Zutrittskontrolle,<br />
Wahrnehmung des Hausrechts, zum <strong>Schutz</strong> des Eigentums, zur<br />
Sicherheit des Beschäftigten, zur Sicherung von Anlagen oder<br />
zur Abwehr von Gefahren für die Sicherheit des Betriebs). Liegt<br />
einer dieser Gründe vor, kann die Videoüberwachung unzulässig<br />
sein, wenn schutzwürdige Interessen des Beschäftigten<br />
überwiegen. Eine Überwachung etwa von Sanitär- und Umkleideräumen<br />
ist nach Abs. 2 ganz i.S.d. bisherigen Rechtsprechung61<br />
und im Einklang mit § 201a StGB unzulässig, weil sie<br />
gegen das Recht auf Intimität verstößt.<br />
Die Videokamera und auch eine entsprechende Attrappe, die<br />
eine Überwachung vorgibt, muss kenntlich gemacht werden<br />
(z.B. durch ein Piktogramm), Abs. 1 Satz 2. Wegen der besonderen<br />
Eingriffsschwere ist eine heimliche Videokontrolle strikt untersagt.<br />
Aus datenschutzrechtlicher Sicht ist diese Vorschrift der<br />
mutigste Schritt im Entwurf. 62<br />
Allerdings ist bereits nach geltender Rechtslage eine heimliche<br />
Videoüberwachung nur in äußerst seltenen Ausnahmefällen gestattet.<br />
63 Selbst wenn eine strafbare Handlung eines Beschäftigten<br />
im Raum steht, ist nach gegenwärtiger Rechtslage eine<br />
heimliche Überwachung nicht immer zulässig. Gleichwohl hat<br />
die Praxis vor allem im Bereich des Einzelhandels immer wieder<br />
dieses stark eingeschränkte Recht des Arbeitgebers zur heimlichen<br />
Videoüberwachung häufig zu weit ausgelegt. Mit dem<br />
strikten Verbot wird der Entwurf der grundrechtlichen Pflicht zu<br />
einem effektiven Persönlichkeitsschutz der Beschäftigten gerecht.<br />
64 Unzumutbar für den Arbeitgeber65 ist ein solches striktes<br />
Verbot schon deshalb nicht, weil bei dem konkreten Verdacht<br />
der Straftatenbegehung die Einschaltung von Strafverfolgungsbehörden<br />
jederzeit möglich ist.<br />
Von datenschutzrechtlicher Relevanz nach § 32f Abs. 1 Satz 4 ist<br />
die Frage, welche Rechtspflichten Kameraattrappen auslösen.<br />
Die zivilrechtliche Rechtsprechung behilft sich bislang überwiegend<br />
mit den Vorschriften der §§ 823, 1004 BGB. Wird eine Videokamera<br />
so angebracht, dass die ernsthafte Möglichkeit besteht,<br />
automatisch filmische Aufzeichnungen von Personen zu<br />
machen, begründet der hierdurch erzeugte „Überwachungsdruck“<br />
unabhängig davon, ob tatsächlich Videoaufnahmen gefertigt<br />
werden, eine Beeinträchtigung des allgemeinen Persönlichkeitsrechts<br />
der so „überwachten“ Personen. 66 Aus datenschutzrechtlicher<br />
Sicht löst insbesondere § 6b Abs. 2 BDSG<br />
praktische Schwierigkeiten aus, wonach die Videoüberwachung<br />
und die verantwortliche Stelle kenntlich zu machen sind.<br />
Da keine reale Videoüberwachung stattfindet, löst § 6b Abs. 2<br />
BDSG unmittelbar keine Kennzeichnungspflicht, wohl aber häufig<br />
Eingaben bei den <strong>Daten</strong>schutzbehörden aus. 67 Diese stehen<br />
56 Zur Problematik der Handyortung vgl. Jandt/Schnabel, K&R 2008, 723; Steidle,<br />
MMR 2009, 167; zur Ortung durch GPS vgl. Gola (o. Fußn. 28), Rdnr. 89 ff.<br />
57 Vgl. z.B. BAG NJW 2010, 104 ff. (rechtswidriges Abhören von Telefongesprächen);<br />
zum Thema vgl. auch Lunk, NZA 2009, 457 ff.<br />
58 Die Rspr. ist insoweit sehr zurückhaltend, vgl. etwa BAG NJW 2008, 2732 ff.,<br />
Abs. 24; Nds.LAG NZA-RR 2010, 406 ff.; LAG Halle, NJ 2008, 575 ff.<br />
59 Leider gibt auch die Begr. zu § 32e Abs. 7 wenig her, wie die Vorschrift zu verstehen<br />
sein soll, vgl. S. 38.<br />
60 Vgl. z.B. BVerfG MMR 2004, 302; w. Nw. bei Jarass/Pieroth, GG,20.Aufl.,<br />
Art. 1 Rdnr. 20, Art. 10 Rdnr. 18 und Art. 13 Rdnr. 26.<br />
61 Vgl. z.B. LAG Hamm RDV 2007, 176: Fotografie eines auf der Toilette sitzenden<br />
Beschäftigten.<br />
62 Vgl. dazu auch die Presserklärungen des BfDI v. 25.8.2010 und des BayLfD v.<br />
26.8.2010.<br />
63 Vgl. z.B. BAG RDV 2005, 216 ff.; BAG NJW 2003, 3436 ff.<br />
64 Vgl. Presseerklärung BayLfD v. 26.8.2010.<br />
65 So aber offenbar die Auffassung des HDE, vgl. Stuttgarter Nachrichten v.<br />
25.8.2010: Arbeitgeber wollen weiterhin überwachen.<br />
66 Vgl. BGH MMR 2010, 502 ff.; LG Bonn NJW-RR 2005, 1067 f.; LG Darmstadt<br />
NZM 2000, 360.<br />
67 So zu Recht Gola/Schomerus, BDSG, § 6b Rdnr. 27; Bizer,in:Simitis,BDSG§6b<br />
Rdnr. 39 vertritt die Auffassung, auf Grund des vergleichbaren Überwachungsdrucks<br />
müsse die verantwortliche Stelle gekennzeichnet sein. Demgegenüber rät<br />
Niese, in: Wilde et al., BayDSG, Art. 21a Rdnr. 9 von Hinweisschildern gänzlich ab.
vor der schwierigen Entscheidung, ob sie der „verantwortlichen<br />
Stelle“ empfehlen, mit dem Anbringen von Hinweisschildern<br />
i.S.d. § 6b Abs. 2 zu lügen oder ob sie ihren Petenten <strong>ohne</strong> Offenlegung<br />
der Attrappeneigenschaft vermitteln, warum in dem<br />
konkreten Eingabefall abweichend von den üblichen Standards<br />
keine Hinweispflicht besteht. Der Entwurf setzt sich über etwaige<br />
Bedenken hinweg und setzt auf die pragmatische Lösung,<br />
wonach Attrappen hinsichtlich der Hinweispflicht einer tatsächlichen<br />
Videoüberwachung gleichzusetzen sind.<br />
8. Ortungssysteme nach § 32g BDSG-E<br />
Der Entwurf enthält eine Vorschrift zum Einsatz von Ortungssystemen.<br />
Mit Hilfe von Ortungssystemen (GPS oder Handy-Ortung)<br />
kann der jeweilige geografische Aufenthaltsort des Beschäftigten<br />
jederzeit präzise bestimmt werden, wodurch dieser<br />
zum Objekt einer umfassenden Verhaltens- und Leistungskontrolle<br />
werden kann. Die Ortungsdaten dürfen daher nur zu bestimmten<br />
konkreten Zwecken erhoben und verwendet werden<br />
(zur Sicherheit des Beschäftigten oder zur Koordinierung des<br />
Einsatzes des Beschäftigten). Insoweit sieht der Entwurf in<br />
Abs. 1 Satz 4 eine strikte Zweckbindung vor. Bei der Erhebung<br />
sind nach Abs. 1 Satz 1 die schutzwürdigen Interessen des Beschäftigten<br />
zu beachten; überwiegen diese, hat der Umgang<br />
mit Geolokalisationsdaten zu unterbleiben.<br />
I.S.d. Transparenzgebots muss der Beschäftigte auch über den<br />
Umfang der Aufzeichnungen und evtl. vorgesehene Auswertungen<br />
informiert werden. Hier dürfte in der Praxis ein Hauptproblem<br />
liegen, weil die Einhaltung der Informationspflicht von dem<br />
betroffenen Beschäftigten häufig nicht kontrollierbar sein dürfte.<br />
Das Beispiel von erlaubt privat genutzten PKWs zeigt, dass der<br />
Einsatz von Ortungssystemen auch Lebensbereiche der Beschäftigten<br />
erfassen kann, die ihrer Privatsphäre zuzurechnen sind<br />
und deshalb den Arbeitgeber nichts angehen. Dem versuchen<br />
Abs. 1 Satz 2 und Abs. 2 gerecht zu werden. Nach der ersten<br />
Vorschrift ist die Erhebung von Ortungsdaten nur während der<br />
Arbeitszeit des Beschäftigten gestattet. Die zweite Regelung betrifft<br />
Ortungssysteme zum <strong>Schutz</strong> beweglicher Sachen.<br />
9. Biometrische Verfahren nach § 32h BDSG<br />
In der Praxis wird immer wieder versucht, Beschäftigte mit Hilfe<br />
bestimmter körperlicher Merkmale zu identifizieren (z.B. durch<br />
Fingerabdruck, Iris-Scan, Gesichtskontrolle). In vielen Fällen ergeben<br />
sich dabei überschießende Informationen, etwa höchst<br />
sensible Erkenntnisse über den Gesundheitszustand, also besonders<br />
schützenswerte <strong>Daten</strong> i.S.d. § 3 Abs. 9 BDSG.<br />
68 Auch die Begr. verhält sich hierzu nicht, vgl. BR-Drs. 353/10, S.41.<br />
69 Vgl. dazu BVerfGE 87, 334, 340; BVerfGE 97, 228, 268; BVerfGE 120, 180,<br />
198.<br />
70 Zur heimlichen TK-Überwachung durch den Arbeitgeber vgl. z.B. bereits<br />
BVerfG MMR 2003, 35 ff.; BAG NZA 1996, 218 ff.<br />
71 Man denke z.B. an die zahlreichen Fälle des Downloads von pornografischem<br />
Bildmaterial; vgl. z.B. BAG NJW 2006, 2939 ff., Rdnr. 32; BVerwGE 111, 291 ff.<br />
72 Vgl. dazu z.B. die Gesamtüberblicke bei Gola (o. Fußn. 28); Däubler, Internet<br />
und Arbeitsrecht, 3. Aufl. 2004; ders., Gläserne <strong>Belegschaften</strong>?, 5. Aufl. 2010.<br />
73 Neben dem Fernmeldegeheimnis gelten auch die aus dem allgemeinen Persönlichkeitsrecht<br />
abgeleiteten Grundrechte auf informationelle Selbstbestimmung und<br />
auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.<br />
Gerade Letzteres führt zu erheblichen Unsicherheiten bei der Rechtsanwendung.<br />
Vgl. als Negativbeispiel VGH Kassel MMR 2009, 714, in dem die unterschiedlichen<br />
Rechtsfolgen der Anwendung der beiden Grundrechte verkannt werden.<br />
74 Das ergibt sich im Umkehrschluss aus § 11 Abs. 1 Nr. 1 TMG.<br />
75 Anders als das TMG sieht das TKG keine ausdrückliche Regelung vor; die eingeschränkte<br />
Anwendung des TKG auf nur private Kommunikation wird aus dem Umstand<br />
abgeleitet, dass die Anwendbarkeit des TKG ein Anbieter-Nutzer-Verhältnis<br />
voraussetzt.<br />
76 Vgl. § 14 Abs. 4 BDatGE, BT-Drs. 17/69, S. 7.<br />
77 Noch der Referentenentwurf v. 28.5.2010 sah in § 32i Abs. 4 eine Regelung vor.<br />
Aus diesem Grund sollen nach § 32h BDSG-E nur bestimmte<br />
biometrische Merkmale eines Beschäftigten erhoben und verwendet<br />
werden dürfen und dies auch nur dann, soweit dies aus<br />
betrieblichen Gründen zu Autorisierungs- und Authentifikationszwecken<br />
erforderlich ist. <strong>Schutz</strong>würdige Interessen des Beschäftigten<br />
am Ausschluss der <strong>Daten</strong>erhebung und <strong>Daten</strong>verwendung<br />
überwiegen jedenfalls, wenn besondere Arten personenbezogener<br />
<strong>Daten</strong> miterhoben werden.<br />
Nach Abs. 1 Satz 2 können Arbeitgeber Lichtbilder von Beschäftigten<br />
auch zu anderen Zwecken erheben und verwenden,<br />
wenn die betroffenen Beschäftigten hierin eingewilligt haben.<br />
Die Vorschrift sieht hierzu keine Einschränkungen vor. 68 Hinsichtlich<br />
der Wirksamkeit der Einwilligung gelten die üblichen<br />
Voraussetzungen nach § 4a BDSG. Im Lichte der Bedeutung des<br />
Grundrechts am eigenen Bild69 wird man im Einklang mit der<br />
bisherigen Rechtslage ungeachtet der erteilten Einwilligung zumindest<br />
eine sachliche Notwendigkeit für die Verwendung der<br />
Bilddaten durch den Arbeitgeber verlangen müssen.<br />
<strong>Daten</strong>, die nicht mehr für die vorgesehenen Zwecke erforderlich<br />
sind, müssen nach Abs. 2 unverzüglich gelöscht werden. Dies<br />
gilt i.S.d. Persönlichkeitsschutzes auch dann, wenn schutzwürdige<br />
Interessen des Beschäftigten einer weiteren Speicherung<br />
entgegenstehen. Wie nach bisheriger Rechtslage wird der Arbeitgeber<br />
nach § 9 BDSG bei dem Technikeinsatz ein besonderes<br />
Augenmerk auf Verfahren legen müssen, die einen Missbrauch<br />
der <strong>Daten</strong> ausschließen.<br />
10. Nutzung von TK-Diensten nach § 32i BDSG-E<br />
Wie nicht zuletzt die DTAG-Affäre eindrucksvoll belegte, bietet<br />
die Telekommunikation ein besonderes Potential für eine illegale,<br />
umfassende Überwachung von Beschäftigten. 70 Allerdings<br />
kann umgekehrt die missbräuchliche Nutzung der Telekommunikation<br />
durch Beschäftigte das Ansehen des Arbeitgebers erheblich<br />
schädigen. 71 Die Kontrolle der dienstlichen Telefonie-, E-<br />
Mail- und Internetnutzung stellt nicht zuletzt deshalb einen heiß<br />
umstrittenen Bereich im Beschäftigtendatenschutzrecht dar. 72 Zugleich<br />
ist die Rechtslage nicht nur einfachgesetzlich, sondern auch<br />
verfassungsrechtlich komplex, weil unterschiedliche Grundrechte<br />
mit unterschiedlicher <strong>Schutz</strong>reichweite zu beachten sind. 73<br />
Man darf gespannt sein, ob und inwieweit § 32i zur Rechtssicherheit<br />
und zum Rechtsfrieden beitragen kann. Nach der bisherigen<br />
Gesetzeslage ist danach zu unterscheiden, ob eine ausschließlich<br />
berufliche oder dienstliche Nutzung von TK-Diensten vorliegt oder<br />
der Arbeitgeber eine private Nutzung von TK-Diensten zulässt.<br />
Wird die private Nutzung gestattet, gilt der Arbeitgeber als Diensteanbieter<br />
i.S.d. TMG74 und TKG. 75 Er hat dann das strafrechtlich<br />
bewehrte Fernmeldegeheimnis zu beachten.<br />
Anders als der Entwurf zum BDatG76 und Vorentwürfe77 verzichtet<br />
§ 32i weitgehend auf eine ausdrückliche Regelung der privaten<br />
Nutzung. Das Regelungsvorhaben betrifft mithin ganz überwiegend<br />
die Nutzung von TK-Diensten des Beschäftigten ausschließlich<br />
zu beruflichen oder dienstlichen Zwecken.<br />
Abs. 1 bildet die bereits jetzt weitgehend anerkannten datenschutzrechtlichen<br />
Grundregeln der dienstlich veranlassten Nutzung<br />
der Telekommunikation ab. Der Arbeitgeber/Dienstherr<br />
darf anfallende TK-Verkehrsdaten (i.S.v. § 3 Nr. 30 TKG) nur zu<br />
bestimmten konkreten Zwecken nutzen (zur Gewährleistung<br />
des ordnungsgemäßen Betriebs von TK-Netzen oder TK-Diensten,<br />
einschließlich der <strong>Daten</strong>sicherheit; zu Abrechnungszwecken<br />
oder zu einer stichprobenartigen oder anlassbezogenen<br />
Leistungs- oder Verhaltenskontrolle). Wie bei den übrigen Regelungen<br />
sind die etwaig überwiegenden Interessen und ein Benachrichtigungsrecht<br />
der Beschäftigten zu beachten.<br />
Bei der Erfassung von TK-Inhalten einer zu beruflichen und<br />
dienstlichen Zwecken erlaubten Kommunikation liegt allerdings<br />
57
ein besonders schwerer Eingriff in das Persönlichkeitsrecht des<br />
Beschäftigten vor. Deshalb soll § 32i Abs. 2 einen Eingriff im<br />
Grundsatz nur gestatten, wenn der Beschäftigte und sein Kommunikationspartner<br />
vor der Erhebung und Verwendung im Einzelfall<br />
vorher darüber informiert wurden und in den <strong>Daten</strong>umgang<br />
eingewilligt haben. Z.B. kommt eine derartige Vorgehensweise<br />
bei der Anschulung von neuen Beschäftigten etwa im Servicebereich<br />
in Betracht.<br />
Für den Fall, dass die Nutzung von Telefondiensten zum wesentlichen<br />
Inhalt der geschuldeten Leistung gehört (insbesondere bei<br />
Call-Centern78), gestattet Abs. 2 Satz 2 eine weitergehende Erfassung<br />
von Inhaltsdaten. Auf Grund des TK-Geheimnisses wird zwar<br />
der Gesprächspartner des Beschäftigten im Einzelfall vorab informiert,<br />
nicht jedoch der Beschäftigte selbst. Er soll nur in geeigneter<br />
Weise vorab darüber informiert werden, dass er „in einem eingegrenzten<br />
Zeitraum mit einer Kontrolle zu rechnen hat“. Nach Satz<br />
3 ist er allerdings nachträglich zu unterrichten. Mit dieser Regelung<br />
kommt der Entwurf den Interessen von Markt- und Sozialforschungsinstituten<br />
entgegen. Obwohl eine derartige Vorgehensweise<br />
unstreitig das Recht des Beschäftigten am eigenen Wort erheblich<br />
beeinträchtigt, 79 wird sie von den Verbänden zur Sicherung<br />
der Interviewqualität in ihren Richtlinien empfohlen. 80<br />
Gesondert in Abs. 3 geregelt ist der Umgang mit Inhaltsdaten<br />
bei der beruflichen und dienstlichen Nutzung von anderen TK-<br />
Diensten. Mit „anderen“ Diensten sind alle TK-Dienste gemeint,<br />
die keine Telefondienste sind (z.B. E-Mail, Internet usw.). 81 Im<br />
Zusammenhang mit der Bereitstellung solcher Dienste dürfen<br />
Inhaltsdaten erhoben und verwendet werden, soweit dies für<br />
den ordnungsgemäßen Dienst- oder Geschäftsbetrieb erforderlich<br />
ist. Entsprechend zu Abs. 1 Nr. 3 gestattet Abs. 3 auch die<br />
stichprobenartige oder anlassbezogene Leistungs- und Verhaltenskontrolle.<br />
Regelmäßig sind die betroffenen Beschäftigten vor der <strong>Daten</strong>erhebung<br />
zu informieren. Heimliche Maßnahmen werden nach<br />
Abs. 3 Satz 3 nur unter den Voraussetzungen des § 32e Abs. 2–7<br />
erlaubt. Zumindest hinsichtlich der stichprobenartigen oder anlassbezogenen<br />
Leistungs- und Verhaltenskontrolle hätte es angesichts<br />
der relativ großen Eingriffsintensität allerdings nahe gelegen,<br />
den Arbeitgeber auch bei nicht heimlichen <strong>Daten</strong>erhebungen<br />
zu einer Dokumentation zu verpflichten.<br />
Die Inhalte und Verbindungsdaten einer abgeschlossenen Telekommunikation<br />
eines Beschäftigten, die Entwurfsbegründung<br />
nennt insoweit beispielhaft die auf einem Arbeitsplatzcomputer<br />
eingegangenen E-Mails, 82 dürfen nach den allgemeinen Regeln<br />
der §§ 32c, d erhoben und verwendet werden. Hintergrund dieser<br />
Regelung ist der Umstand, dass der <strong>Schutz</strong> des Fernmeldegeheimnisses<br />
aus Art. 10 Abs. 1 GG mit dem abgeschlossenen<br />
Empfang einer E-Mail endet, weil und soweit der Betroffene die<br />
technische Möglichkeit hat, die empfangenen <strong>Daten</strong> zu verarbeiten,<br />
insbesondere zu löschen. 83<br />
Zur Nutzung von TK-Diensten zu privaten Zwecken verhält sich<br />
§ 32i – anders als Vorentwürfe84 – nicht ausdrücklich. In Abs. 4<br />
Satz 2 ist allerdings vorgesehen, dass der Arbeitgeber private<br />
<strong>Daten</strong> und Inhalte des Beschäftigten nach Abschluss der Telekommunikation<br />
nur erheben und verwenden darf, „wenn dies<br />
zur Durchführung des ordnungsgemäßen Dienst- oder Geschäftsbetriebes<br />
unerlässlich ist und er den Beschäftigten hierauf<br />
schriftlich hingewiesen hat.“ Dies soll vor allem Weiterleitungsfälle<br />
in Abwesenheitszeiten des Beschäftigten betreffen. 85<br />
Diese Vorschrift wirft verfassungsrechtliche Bedenken auf, sofern<br />
der Arbeitgeber die private Nutzung von TK-Diensten gestattet.<br />
In diesem Fall kommt es durchaus in Betracht, dass der<br />
Beschäftigte sich hinsichtlich seines E-Mail-Accounts auf das<br />
Grundrecht auf Gewährleistung der Vertraulichkeit und Integri-<br />
58<br />
tät informationstechnischer Systeme berufen kann. Der verfassungsrechtlich<br />
begründete <strong>Schutz</strong> dieses Grundrechts reicht regelmäßig<br />
mindestens so weit wie das Fernmeldegeheimnis aus<br />
Art. 10 Abs. 1 GG. 86 Es ist fraglich, ob ein vorheriger Hinweis<br />
und die Notwendigkeit des ordnungsgemäßen Dienst- oder Geschäftsbetriebs<br />
als Voraussetzungen für eine <strong>Daten</strong>erhebung<br />
diesem <strong>Schutz</strong>bedarf genügt. I.Ü. schweigt der Entwurf zur privaten<br />
Nutzung von TK-Diensten – und spart so die Beantwortung<br />
der in der Praxis heftig diskutierten Streitfragen aus.<br />
11. Unterrichtungspflichten nach § 32j BDSG-E<br />
Der Unterabschnitt über den Beschäftigtendatenschutz enthält<br />
eine Regelung zu Informationspflichten bei <strong>Daten</strong>schutzpannen.<br />
Die Vorschrift legt dem Arbeitgeber gegenüber seinen Beschäftigten<br />
strengere Informationspflichten auf als der bereits geltende<br />
§ 42a BDSG. 87 Während diese Vorschrift eine Unterrichtungspflicht<br />
vereinfacht ausgedrückt nur für schwerwiegende Fälle begründet,<br />
soll nach dem Entwurf künftig jede rechtswidrige Übermittlung<br />
bzw. Kenntniserlangung durch Dritte eine entsprechende<br />
Pflicht zur Mitteilung an den Beschäftigten auslösen. 88 Die Mitteilung<br />
an die Aufsichtsbehörde hat bei drohenden schwerwiegenden<br />
Beeinträchtigungen von Rechten oder schutzwürdigen Interessen<br />
der Beschäftigten zu erfolgen, <strong>ohne</strong> dass die in § 42a<br />
Satz 1 BDSG aufgezählten <strong>Daten</strong>kategorien betroffen sein müssen.<br />
I.Ü. gelten die Maßstäbe des § 42a BDSG entsprechend.<br />
12. Änderungen nach § 32k BDSG-E<br />
Die Regelung sieht die datenschutzrechtliche (Nachberichts-)<br />
Pflicht des Arbeitgebers vor, Dritten (also auch der Konzernmuttergesellschaft<br />
oder anderen Konzernunternehmen), an die er<br />
Beschäftigtendaten übermittelt hat, die Berichtigung, Löschung<br />
oder Sperrung dieser <strong>Daten</strong> unverzüglich mitzuteilen. Ausnahme<br />
von der Pflicht soll nur dann gegeben sein, wenn die Mitteilung<br />
nicht erforderlich ist, um die schutzwürdigen Interessen der<br />
Beschäftigten zu wahren. Diese Vorschrift entspricht weitgehend<br />
der geltenden Gesetzeslage, vgl. § 35 Abs. 7 BDSG (sog.<br />
„Nachberichtspflicht“). 89<br />
13. Geltung für Dritte, Rechte der Interessenvertretung,<br />
Petitionsrecht nach § 32l BDSG-E<br />
Wenn § 32l Abs. 2 die Vorschriften über den Beschäftigtendatenschutz<br />
auf externe Dienstleister des Arbeitgebers erstreckt,<br />
reagiert der Entwurf auf die weidlich bekannten Fälle der Mitarbeiterüberwachung,<br />
bei denen personenbezogene Beschäftigtendaten<br />
an externe Dienstleistungsunternehmen zu Überwachungszwecken<br />
weitergegeben wurden. Der Regelungsentwurf<br />
verhindert derartige Weitergaben nicht, sofern sie nach den<br />
bereits vorgestellten Bestimmungen zulässig sind. § 32l Abs. 2<br />
bezweckt allerdings, dass der <strong>Schutz</strong>standard durch diese <strong>Daten</strong>weitergaben<br />
nicht abgesenkt wird. Anders als der BDatG-E90 verzichtet<br />
der vorliegende Entwurf auf umfangreiche Regelungen<br />
78 Vgl. BR-Drs. 353/10, S. 43.<br />
79 Vgl. BVerfGE 106, 28 ff.<br />
80 Vgl. ADM Arbeitskreis Deutscher Markt- und Sozialforschungsinstitute e.V., ASI<br />
Arbeitsgemeinschaft Sozialwissenschaftlicher Institute e.V., BVM Berufsverband<br />
Deutscher Markt- und Sozialforscher e.V. und von der DGOF Deutsche Gesellschaft<br />
für Online-Forschung e.V.: Richtlinie für telefonische Befragungen, Stand: Januar<br />
2008, Nr. 7.3.<br />
81 Vgl. BR-Drs. 353/10, S. 44 zu Abs. 3.<br />
82 BR-Drs. 353/10, S. 44 zu Abs. 4.<br />
83 Vgl. dazu z.B. BVerfG MMR 2006, 217; VGH Kassel MMR 2009, 714 ff.<br />
84 Vgl. noch RefE v. 28.6.2010 zu § 32i Abs. 4, der einen Verweis auf das TKG enthält.<br />
85 Vgl. BR-Drs. 353/10, S. 45.<br />
86 Vgl. Petri (o. Fußn. 15), S. 55 ff.<br />
87 Vgl. dazu Eckhart/Schmitz, DuD 2010, 390 ff.; Hanloser, DSB 11/2009, S. 11;<br />
Hornung NJW 2010, 1841 ff.<br />
88 Ganz ähnlich insoweit § 19 Satz 1 BDatG-E, BT-Drs. 17/69, S. 8.<br />
89 Vgl. dazu z.B. Dix, in: Simitis, BDSG, § 35 Rdnr. 63 ff.<br />
90 Vgl. §§ 32 ff. BDatG-E, BT-Drs. 17/69, S. 11.
zur Einbindung von Interessenvertretungen der Beschäftigten.<br />
Stattdessen lässt § 32l Abs. 3 die Rechte dieser Interessenvertretungen<br />
unberührt.<br />
Rechtsstaatlich bedenklich ist die Vorschrift des § 32l Abs. 4, der<br />
das Petitionsrecht von Beschäftigten bei den <strong>Daten</strong>schutzbehörden<br />
regelt. Dem Entwurf zufolge sollen Beschäftigte mutmaßliche<br />
<strong>Daten</strong>schutzverstöße des Arbeitgebers an die zuständige<br />
<strong>Daten</strong>schutzbehörde nur melden dürfen, wenn der Arbeitgeber<br />
einer Beschwerde des Beschäftigten nicht unverzüglich abhilft.<br />
DamitwirdeinesolcheBeschwerdeinderbetrieblichenPraxis<br />
nahezu unmöglich gemacht: Muss der Beschäftigte sich zunächst<br />
an seinen Arbeitgeber wenden, weiß dieser bei einer späteren<br />
Beschwerde stets, wer ihn bei der zuständigen <strong>Daten</strong>schutzinstanz<br />
angezeigt hat. Der Beschäftigte müsste dann erhebliche<br />
Nachteile bis hin zur fristlosen Kündigung befürchten,<br />
selbst wenn er rechtmäßig gehandelt hat.<br />
Gegenüber der geltenden Rechtslage wäre die Einschränkung<br />
eine deutliche Verschlechterung. Nahezu unstreitig darf sich der<br />
Betroffene eines <strong>Daten</strong>schutzverstoßes gegenwärtig stets an<br />
die <strong>Daten</strong>schutzbehörden wenden. 91 In diesem Sinne wurde<br />
bisher auch die europäische <strong>Daten</strong>schutzrichtlinie verstanden,<br />
die das Recht jedes Betroffenen gewährleistet, sich an die staatliche<br />
Kontrollstelle zu wenden.<br />
Die vorgesehene Vorschrift würde eine Verschlechterung der<br />
gegenwärtigen Rechtslage selbst für sog. Whistleblower bedeuten,<br />
die schwerwiegende Missstände in ihrem Arbeitsumfeld<br />
aus primär uneigennützigen Motiven aufdecken. 92 Den wesentlichen<br />
Grundzügen der bisherigen arbeitsgerichtlichen Rechtsprechung<br />
entsprechend muss sich ein Arbeitnehmer93 auf<br />
Grund seiner beschäftigungsvertraglichen Treuepflichten zwar<br />
regelmäßig zunächst um eine innerbetriebliche Klärung des<br />
Sachverhalts bemühen. 94 Heute prüft die fachgerichtliche<br />
Rechtsprechung jedoch in besonderer Weise, inwieweit ein legitimes<br />
Motiv des Beschäftigten besteht, einen tatsächlichen erheblichen<br />
Missstand zu melden. 95 Eine Strafanzeige z.B. ist<br />
dann gerechtfertigt, wenn der Beschäftigte Kenntnis von Straftaten<br />
erhält, durch deren Nichtanzeige er sich selbst einer Strafverfolgung<br />
aussetzen würde. 96 Die Rechtsprechung hat damit<br />
klargestellt, dass der innerbetrieblichen Klärung eines Missstands<br />
nicht generell der Vorrang gebührt. Bedauerlicherweise<br />
greift der Entwurf Vorarbeiten zu Whistleblower-Klauseln aus<br />
der vergangenen Legislaturperiode97 nicht auf.<br />
Als Ergebnis ist festzuhalten, dass der Gesetzgeber hinsichtlich des<br />
§ 32l Abs. 4 jedenfalls in Bezug auf Betroffene in der Nachbesserungspflicht<br />
ist. Geboten wäre also eine hinreichend normenbestimmte<br />
und klare Regelung, ob und unter welchen Bedingungen<br />
Beschäftigte betriebsinterne Missstände an Dritte (insbesondere<br />
an zuständige Behörden) weitergeben dürfen. Aus datenschutzrechtlicher<br />
Sicht sind dabei Vorschriften zum <strong>Schutz</strong> des Meldenden,<br />
aber auch zum <strong>Schutz</strong> etwaiger Dritter erforderlich.<br />
14. Änderungen in § 43 BDSG-E<br />
Bei der Durchsicht des Entwurfs fällt die geringe Zahl der Bußgeldvorschriften<br />
auf, die im Zusammenhang mit dem Beschäf-<br />
91 Vgl. dazu Petri, in: Simitis, BDSG, § 38 Rdnr. 3 m.w.Nw.<br />
92 Vgl. Deutscher Bundestag, Wissenschaftlicher Dienst, Aktueller Begriff: Whistleblower<br />
(21.1.2009).<br />
93 Für Beamte des Bundes sieht § 37 Abs. 2 Nr. 3 BeamtStG nunmehr vor, dass die<br />
beamtenrechtliche Verschwiegenheitspflicht nicht mehr gilt, soweit ein hinreichender<br />
Verdacht einer Korruptionsstraftat nach den §§ 331–337 StGB angezeigt wird.<br />
94 Vgl. BAG NJW 2004, 1547; dazu und zum Folgenden vgl. Deiseroth/Derleder,<br />
ZRP 2008, 248, 249.<br />
95 BAG NJW 2004, 1547; LAG Rheinland-Pfalz, U. v. 24.10.2007 – 7 Sa 451/07.<br />
96 Vgl. BAG NJW 2004, 1547, 1549 f.<br />
97 Vgl. Anhörungsverfahren BT-Ausschuss-Drs. 16(10)850.<br />
tigtendatenschutz aufgenommen wurden. Dieser Umstand<br />
kann noch hingenommen werden, zumal eine inflationäre Aufnahme<br />
neuer Bußgeldtatbestände nicht zwingend zielführend<br />
sein muss. Problematisch ist jedoch dabei die Auswahl der Vorschriften,<br />
bei denen die Verstöße geahndet werden können.<br />
Fast ausnahmslos werden lediglich Verstöße gegen die Unterrichtungspflichten<br />
sanktioniert. Der Entwurf enthält insoweit<br />
schwerwiegende Wertungswidersprüche.<br />
Nur ein Beispiel zur Veranschaulichung sei hier gebracht: Die<br />
heimliche Überwachung nach § 32e dürfte regelmäßig schwerwiegende<br />
Eingriffe in die Persönlichkeitsrechte bedeuten. Nach<br />
§ 43 Abs. 1 Nr. 7c) BDSG-E sollen jedoch nur Verstöße gegen<br />
§ 32e Abs. 5 Satz 5 BDSG-E geahndet werden können, also die<br />
fehlende nachträgliche Unterrichtung. Diese Sanktion ist begründbar,<br />
weil nur mit der Unterrichtung die betroffenen Beschäftigten<br />
in die Lage versetzt werden, die Rechtmäßigkeit der<br />
Maßnahme zu überprüfen. Nicht nachvollziehbar ist demgegenüber,<br />
dass die viel gewichtigeren Beeinträchtigungen durch<br />
eine rechtswidrige heimliche Überwachung (also Verstöße gegen<br />
§ 32e Abs. 1 bzw. Abs. 2–4) oder Verstöße gegen die<br />
Löschpflichten (Verstoß gegen § 32e Abs. 6) nach dem Entwurf<br />
völlig ungeahndet bleiben. Dies gilt für sämtliche Verarbeitungsverstöße,<br />
die nach altem Recht als Verstöße gegen<br />
§ 28 oder § 29 BDSG nach Maßgabe des § 43 Abs. 2 BDSG zu<br />
ahnden waren.<br />
VI. Fazit<br />
Im Wesentlichen bildet der Entwurf der Bundesregierung die bestehende<br />
Rechtslage ab. Teilweise sieht er begrüßenswerte Klarstellungen<br />
vor. Aus datenschutzrechtlicher Sicht positiv hervorzuheben<br />
ist das strikte Verbot der heimlichen Videoüberwachung.<br />
Kritikwürdig sind jedoch die verfassungsrechtlich problematischen<br />
Vorschriften bezüglich des Zugriffs auf private <strong>Daten</strong><br />
nach dem Abschluss von TK-Verhältnissen in § 32i Abs. 4 Satz 2<br />
BDSG-E sowie die Einschränkungen des Eingaberechts für Betroffene<br />
(Whistleblower-Klausel) nach § 32l Abs. 4 BDSG-E. Problematisch<br />
ist auch der anlasslose Massendatenabgleich i.R.v.<br />
Screenings. Aus datenschutzrechtlicher Sicht gänzlich inakzeptabel<br />
ist die Ausgestaltung der Bußgeldvorschriften, die krasse<br />
Wertungswidersprüche enthält. Auffällig ist auch der Umstand,<br />
dass der Entwurf der Bundesregierung bestimmte Regelungsvorschläge<br />
von Vorentwürfen nicht mehr aufgreift.<br />
Als Fazit ist festzuhalten, dass die Bundesregierung (nur) einige<br />
Schritte zu einer „guten“ Regelung des Beschäftigtendatenschutzes<br />
gegangen ist. Weitere Schritte wären erforderlich. Es<br />
ist zu hoffen, dass der Gesetzgeber den noch nicht zurückgelegten<br />
Weg zum Ziel beschreitet.<br />
Prof. Dr. Marie-Theres Tinnefeld<br />
ist Professorin für <strong>Daten</strong>schutz und Wirtschaftsrecht an<br />
der Hochschule München.<br />
Dr. Thomas Petri<br />
ist Bayerischer Landesbeauftragter für den <strong>Daten</strong>schutz.<br />
Dr. Stefan Brink<br />
ist Leiter Privater <strong>Daten</strong>schutz beim Landesbeauftragten<br />
für den <strong>Daten</strong>schutz Rheinland-Pfalz.<br />
59
60<br />
tipps & tricks <strong>Daten</strong>schutzbeauftragter<br />
Gemeinsam handeln!<br />
Zur Zusammenarbeit von<br />
<strong>Daten</strong>schutzbeauftragtem und Betriebsrat<br />
Auch wenn der betriebliche <strong>Daten</strong>schutzbeauftragte und der Betriebsrat unterschiedliche Aufgaben<br />
haben, so sollten sie dennoch zusammenarbeiten – zum Wohle der Beschäftigten und des Betriebs.<br />
Dr. Eberhard Kiesche und Matthias Wilke geben dazu wichtige Informationen und Tipps.<br />
Eigentlich müssten sie sich gut verstehen<br />
– der betriebliche <strong>Daten</strong>schutzbeauftragte<br />
und der Betriebsrat.<br />
Denn die immer leistungsfähigeren<br />
Computer- und Kommunikationssysteme<br />
sind für beide eine große Herausforderung<br />
– für den <strong>Daten</strong>schützer,<br />
der den Sammeleifer der Arbeitgeberseite<br />
dämpfen muss, und für die Interessenvertretung,<br />
die die Kontrollwünsche<br />
des Arbeitgebers zu beschränken<br />
hat.<br />
In der Praxis ist eine Zusammenarbeit<br />
allerdings kaum üblich. Warum eigentlich?<br />
Beide, <strong>Daten</strong>schützer wie Betriebsrat,<br />
haben Interessen, die sie<br />
manchmal besser gemeinsam als auf<br />
getrennten Wegen verwirklichen können.<br />
Außerdem teilen sie ein gemeinsames<br />
Schicksal: Sowohl der <strong>Daten</strong>schutzbeauftragte<br />
als auch der Betriebsrat<br />
werden in vielen Unternehmen<br />
meistens als Kostentreiber betrachtet.<br />
In Wahrheit sind sie Garanten für den Erfolg<br />
des Unternehmens. Ein Unternehmen,<br />
aus dem durchsickert, dass mit<br />
Dr. Eberhard Kiesche (AoB Bremen) und<br />
Matthias Wilke (dtb Kassel) beraten zu<br />
Themen des betrieblichen <strong>Daten</strong>schutzes<br />
www.aob-bremen.de, www.dtb-kassel.de<br />
personenbezogenen <strong>Daten</strong> Schindluder<br />
getrieben wird, hat hingegen deutliche<br />
Einbußen vor allem beim Umsatz und<br />
beim Image zu befürchten. Das haben<br />
die bislang bekannt gewordenen <strong>Daten</strong>schutzskandale<br />
in aller Deutlichkeit gezeigt.<br />
Bestellung des <strong>Daten</strong>schutzbeauftragten<br />
Der betriebliche <strong>Daten</strong>schutzbeauftragte<br />
hat in „nicht-öffentlichen“ Stellen<br />
(= <strong>Betriebe</strong>n) dafür zu sorgen, dass<br />
die Bestimmungen des Bundesdatenschutzgesetzes<br />
(BDSG) umgesetzt und<br />
eingehalten werden. Er ist sowohl für<br />
den Kunden- als auch für den Mitarbeiterdatenschutz<br />
zuständig und neben<br />
dem Betriebsrat das innerbetriebliche<br />
Kontrollorgan. Gemeinsam gewährleisten<br />
sie den Personaldatenschutz.<br />
Die Bestellung des <strong>Daten</strong>schutzbeauftragten<br />
ist in § 4f Abs. 1 BDSG vorgeschrieben.<br />
Betriebsräte müssen<br />
nach § 80 Abs. 1 Nr. 1 BetrVG darüber<br />
wachen, „dass die zugunsten der Arbeitnehmer<br />
geltenden Gesetze, Verordnungen,<br />
Unfallverhütungsvorschriften,<br />
Tarifverträge und Betriebsvereinbarungen<br />
durchgeführt werden“. Dazu zählen<br />
auch das Bundesdatenschutzgesetz<br />
und Betriebsvereinbarungen zu IT-Systemen.<br />
Der Betriebsrat muss deshalb<br />
prüfen, ob ein betrieblicher <strong>Daten</strong>schutzbeauftragter<br />
zu bestellen ist. Immer<br />
dann, wenn mehr als neun Personen<br />
mit der automatisierten Erhebung,<br />
Verarbeitung oder Nutzung von personenbezogenen<br />
<strong>Daten</strong> beschäftigt sind,<br />
muss ein solcher bestellt werden – und<br />
zwar spätestens einen Monat nach Aufnahme<br />
der Tätigkeit.<br />
Mitbestimmung des Betriebsrats<br />
Der Gesetzgeber hat im Betriebsverfassungsgesetz<br />
bislang kein generelles<br />
Mitbestimmungsrecht des Betriebsrats<br />
bei der Bestellung des betrieblichen<br />
<strong>Daten</strong>schutzbeauftragten verankert.<br />
Das jeweilige Unternehmen entscheidet,<br />
ob ein hauptamtlicher, nebenamtlicher<br />
oder externer <strong>Daten</strong>schützer bestellt<br />
werden soll. In allen Fällen hat<br />
der Betriebsrat kein Mitbestimmungsrecht.<br />
Der Betriebsrat kann lediglich im<br />
Rahmen des § 99 BetrVG über die Einstellung<br />
sowie über die Versetzung eines<br />
betrieblichen <strong>Daten</strong>schutzbeauftragten<br />
mitentscheiden.<br />
Bei leitenden Angestellten muss im<br />
Hinblick auf die Mitbestimmungsrechte<br />
des Betriebsrats zwischen der Tätigkeit<br />
als betrieblicher <strong>Daten</strong>schutzbeauftragter<br />
und der bisherigen Aufgabe im<br />
Betrieb unterschieden werden. Bei der<br />
Tätigkeit des leitenden Angestellten als<br />
<strong>Daten</strong>schutzbeauftragter kann der Betriebsrat<br />
mitbestimmen. Dessen Rechte<br />
werden nicht durch §§ 5, 105 BetrVG<br />
eingeschränkt. <strong>Daten</strong>schutzbeauftragte<br />
sind nämlich keine leitenden<br />
Angestellten im Sinne des Betriebsverfassungsgesetzes.<br />
Das Mitbestimmungsrecht des Betriebsrats<br />
nach § 99 BetrVG ist als ein<br />
Zustimmungsverweigerungsrecht ausgestaltet.<br />
Falls bei der Bestellung des<br />
<strong>Daten</strong>schutzbeauftragten gegen das<br />
Bundesdatenschutzgesetz verstoßen<br />
wird, kann der Betriebsrat seine Zu
stimmung unter Verweis auf den Gesetzesverstoß<br />
versagen (vgl. § 99 Abs. 2<br />
Nr. 1 BetrVG). Dies kann etwa dann der<br />
Fall sein, wenn der zu bestellende <strong>Daten</strong>schutzbeauftragte<br />
nicht die Anforderungen<br />
bezüglich seiner Zuverlässigkeit<br />
und/oder der erforderlichen Fachkunde<br />
erfüllt.<br />
Anforderungen an den<br />
<strong>Daten</strong>schutzbeauftragten<br />
Zum betrieblichen <strong>Daten</strong>schutzbeauftragten<br />
darf nur bestellt werden, wer<br />
die erforderliche Fachkunde und Zuverlässigkeit<br />
aufweist. Bei der Bestellung<br />
muss beides vorhanden sein.<br />
> Die Fachkunde umfasst Fachkenntnisse<br />
rechtlicher, organisatorischer und<br />
technischer Art.<br />
> Die Zuverlässigkeit ist dann nicht gegeben,<br />
wenn es zu Interessenkollisionen<br />
kommt. Leiter der Abteilung<br />
Recht, Marketing, Personal, Revision<br />
sowie Vertrieb dürfen nicht <strong>Daten</strong>schutzbeauftragte<br />
werden, da sie sich<br />
selbst kontrollieren müssten und somit<br />
unweigerlich Interessenkonflikte<br />
entstehen würden. Auch Mitarbeiter<br />
dieser Abteilungen dürfen nicht zum<br />
<strong>Daten</strong>schutzbeauftragten ernannt<br />
werden.<br />
Der Betriebsrat kann bei Zweifeln an<br />
der Zulässigkeit der Person die Aufsichtsbehörde<br />
gemäß § 38 Abs. 1<br />
BDSG einschalten und die Abberufung<br />
des <strong>Daten</strong>schutzbeauftragten beantragen.<br />
Er kann ferner zu jeder Zeit die<br />
Notwendigkeit der Bestellung eines <strong>Daten</strong>schutzbeauftragten<br />
durch die zuständige<br />
Aufsichtsbehörde überprüfen<br />
lassen.<br />
Stellung des <strong>Daten</strong>schutzbeauftragten<br />
Der betriebliche <strong>Daten</strong>schutzbeauftragte<br />
darf nicht wegen seiner Funktion<br />
und seiner Tätigkeiten im <strong>Daten</strong>schutz<br />
benachteiligt werden (vgl. § 4f Abs. 3<br />
Satz 3 BDSG). Ob seine Bestellung befristet<br />
werden darf, ist umstritten. Allenfalls<br />
kommt eine Befristung von mindestens<br />
fünf Jahren in Betracht, da eine<br />
kürzere Befristung seine Position im<br />
Betrieb schwächen würde.<br />
In der betrieblichen Praxis ist der <strong>Daten</strong>schutzbeauftragte<br />
nicht wirklich unabhängig,<br />
obwohl ihm das Bundesdatenschutzgesetz<br />
eine Weisungsungebundenheit<br />
hinsichtlich der Beurteilung<br />
datenschutzrechtlicher Fragen zugesteht.<br />
Er ist dem Leiter der nicht-öffentlichen<br />
Stelle (= Betrieb) unmittelbar zu<br />
unterstellen. Die teilweise verbreitete<br />
Unsitte, den bzw. einen Geschäftsführer<br />
als <strong>Daten</strong>schutzbeauftragten zu bestellen,<br />
verstößt gegen das Bundesdatenschutzgesetz.<br />
Der <strong>Daten</strong>schutzbeauftragte hat eine<br />
reine Beratungsfunktion. Denn für die Einhaltung<br />
des Bundesdatenschutzgesetzes<br />
ist grundsätzlich das Unternehmen die<br />
verantwortliche Stelle. Er besitzt daher<br />
weder Entscheidungs- noch Anordnungsbefugnisse<br />
gegenüber den Beschäftigten.<br />
Zu seinem <strong>Schutz</strong> kann seine Abberufung<br />
nur aus wichtigem Grund entsprechend §<br />
626 BGB bzw. im Rahmen des § 38 Abs.<br />
5 Satz 3 BDSG auf Verlangen der Aufsichtsbehörde<br />
hin erfolgen.<br />
Seit 2009 hat der betriebliche <strong>Daten</strong>schutzbeauftragte<br />
einen mit dem Abberufungsschutz<br />
verbundenen Kündi-<br />
<strong>Daten</strong>schutzbeauftragter tipps & trick<br />
Es ist sinnvoll,<br />
den betrieblichen<br />
<strong>Daten</strong>schutzbeauftragten<br />
für eine langfristige<br />
Zusammenarbeit mit<br />
dem Betriebsrat zu<br />
gewinnen.<br />
gungsschutz, der ein Jahr nachwir<br />
(vgl. § 4f Abs. 3 Sätze 5 und 6 BDSG<br />
Eine ordentliche Kündigung ist dam<br />
ausgeschlossen. Zusätzlich hat der b<br />
triebliche <strong>Daten</strong>schutzbeauftragte e<br />
nen Fortbildungsanspruch, der ähnlic<br />
ausgestaltet ist wie der Schulungsa<br />
spruch des Betriebsrats nach § 37 Ab<br />
6 BetrVG (vgl. § 4f Abs. 3 Satz<br />
BDSG). Zudem ist er von der veran<br />
wortlichen Stelle (= Unternehmensle<br />
tung) mit der erforderlichen persone<br />
len und sachlichen Infrastruktur ausz<br />
statten.<br />
Bei dem externen <strong>Daten</strong>schutzbeau<br />
tragten ist ebenfalls der Abberufung<br />
schutz nach § 4f Abs. 3 Satz 4 BDS<br />
gegeben. Ohne dass ein wichtig<br />
Grund nach § 626 BGB vorliegt, kan<br />
der zugrundeliegende Geschäftsbeso<br />
gungsvertrag nicht gekündigt werden<br />
Aufgaben des <strong>Daten</strong>schutzbeauftragten<br />
Der <strong>Daten</strong>schutzbeauftragte hat d<br />
Aufgabe, auf die Einhaltung der Date<br />
schutzbestimmungen im Betrieb „hi<br />
zuwirken“ (vgl. § 4g Abs. 1 Satz<br />
BDSG). Damit sind selbstverständlic<br />
auch <strong>Daten</strong>schutzregelungen in B<br />
triebsvereinbarungen gemeint. Zusät<br />
lich überwacht er die ordnungsgemäß<br />
Anwendung der <strong>Daten</strong>verarbeitung<br />
programme und schult bzw. informie<br />
alle an der <strong>Daten</strong>verarbeitung beteili<br />
ten Personen über die Ziele und A<br />
sichten des <strong>Daten</strong>schutzes. Er ist b<br />
der Neueinführung und bei der Änd<br />
rung bestehender <strong>Daten</strong>verarbeitung<br />
verfahren zu beteiligen.<br />
61
62<br />
tipps & tricks <strong>Daten</strong>schutzbeauftragter<br />
Bei der Planung der Schulungsaktivitäten<br />
hat der <strong>Daten</strong>schutzbeauftragte die<br />
Mitbestimmungsrechte des Betriebsrats<br />
gemäß § 98 BetrVG zu beachten,<br />
da die Vermittlung von <strong>Daten</strong>schutzkenntnissen<br />
zu den sonstigen Bildungsmaßnahmen<br />
zählt.<br />
Die verantwortliche Stelle hat dem<br />
<strong>Daten</strong>schutzbeauftragten ein internes<br />
Verzeichnis über Verfahren der <strong>Daten</strong>verarbeitung<br />
zur Verfügung zu stellen<br />
(vgl. §§ 4e, 4g Abs. 2 Satz 1 BDSG),<br />
das wichtige Informationen auch für<br />
den Betriebsrat enthält. Der <strong>Daten</strong>schutzbeauftragte<br />
hat diese Angaben<br />
auf Anforderung öffentlich zu machen,<br />
auch Außenstehenden gegenüber (Jedermann-Verzeichnis).<br />
Eine besonders wichtige Aufgabe des<br />
<strong>Daten</strong>schutzbeauftragten ist die Vorabkontrolle<br />
nach § 4d Abs. 5 und 6 BDSG,<br />
wenn mit der <strong>Daten</strong>verarbeitung besondere<br />
Risiken für die Beschäftigten<br />
verbunden sind. Bei sensiblen <strong>Daten</strong><br />
(z.B. Gesundheitsdaten) gemäß § 3<br />
Abs. 9 BDSG ist diese Prüfung immer<br />
vor dem Beginn der Verarbeitung<br />
durchzuführen.<br />
Kooperation zwischen Betriebsrat<br />
und <strong>Daten</strong>schutzbeauftragtem<br />
Ohne einen ständigen Austausch mit<br />
dem Betriebsrat kann der <strong>Daten</strong>schutzbeauftragte<br />
kaum seine Aufgaben er-<br />
Tipps für die Betriebsratsarbeit<br />
füllen. Er benötigt den Betriebsrat, wie<br />
auch der Betriebsrat den <strong>Daten</strong>schutzbeauftragten<br />
braucht, um unzulässige<br />
Überschreitungen des informationellen<br />
Selbstbestimmungsrechts der Beschäftigten<br />
in kollektiven Regelungen erkennen<br />
zu können. Die Umsetzung des<br />
Bundesdatenschutzgesetzes im Betrieb<br />
erfordert, dass der <strong>Daten</strong>schutzbeauftragte<br />
mit dem Betriebsrat in allen Fragen<br />
des Personaldatenschutzes zusammenarbeitet.<br />
Da der betriebliche <strong>Daten</strong>schutzbeauftragte<br />
seine Tätigkeit der Aufsichtsbehörde<br />
gegenüber nachweisen muss,<br />
mithin ein betrieblicher Rechenschaftsbericht<br />
existieren sollte, bietet es sich<br />
an, diesen auch dem Betriebsrat zu erläutern<br />
– zumal Letzterer darauf einen<br />
Anspruch hat.<br />
§ 4g BDSG führt zu einer doppelten<br />
Kontrolle im Beschäftigtendatenschutz.<br />
Von daher ist eindeutig von einer Verpflichtung<br />
des <strong>Daten</strong>schutzbeauftragten<br />
auszugehen, den Betriebsrat jederzeit<br />
bei der Kontrolle des Beschäftigtendatenschutzes<br />
zu unterstützen.<br />
Gerade in größeren Unternehmen<br />
kommt es durchaus vor, dass der <strong>Daten</strong>schutzbeauftragte<br />
der interne Sachverständige<br />
nach § 80 Abs. 3 BetrVG<br />
bzw. die Auskunftsperson gemäß § 80<br />
Abs. 2 Satz 3 BetrVG ist. Dies bietet<br />
sich jedoch nur dann an, wenn er über<br />
entsprechende Qualifikationen verfügt,<br />
> Überprüfen Sie, ob der betriebliche <strong>Daten</strong>schutzbeauftragte ordnungsgemäß<br />
bestellt worden ist: Erfüllt er die Anforderungen (Fachkunde und<br />
Zuverlässigkeit) und ist er nicht Leiter der Abteilung Recht, Personal, Marketing,<br />
Revision, IT oder Vertrieb?<br />
> Fragen Sie beim betrieblichen <strong>Daten</strong>schutzbeauftragten nach, ob die<br />
verantwortliche Stelle ihm Übersichten über automatisierte Verfahren<br />
gemäß § 4g Abs. 2 Satz 1 BDSG überlassen hat, und fordern Sie regelmäßig<br />
die internen Verfahrensverzeichnisse für sämtliche <strong>Daten</strong>verarbeitungsverfahren<br />
an.<br />
> Verlangen Sie bei neuen IT-Systemen grundsätzlich die Zulässigkeitsprüfung<br />
durch den betrieblichen <strong>Daten</strong>schutzbeauftragten. Vereinbaren<br />
Sie in einer IT-Rahmenbetriebsvereinbarung die Vorlage einer Zulässigkeitsprüfung<br />
und einer gegebenenfalls erforderlichen Vorabkontrolle an<br />
den Betriebsrat.<br />
> Laden Sie den betrieblichen <strong>Daten</strong>schutzbeauftragten regelmäßig in die<br />
Betriebsratssitzung ein. Diskutieren Sie mit ihm Fragen des Beschäftigtendatenschutzes<br />
und fordern Sie bei neuen Verfahrenseinführungen und<br />
IT-Betriebsvereinbarungen eine intensive Beratung ein.<br />
nicht lediglich eine „Alibifunktion“ hat<br />
und der Betriebsrat bereits besonderes<br />
Vertrauen zu ihm entwickeln konnte.<br />
Der <strong>Daten</strong>schutzbeauftragte darf<br />
den Betriebsrat nicht kontrollieren.<br />
Dieses Verbot gilt so lange, wie kein<br />
echtes Mitbestimmungsrecht bei der<br />
Bestellung des betrieblichen <strong>Daten</strong>schutzbeauftragten<br />
gegeben ist. Dies<br />
hat das Bundesarbeitsgericht bereits<br />
im Jahr 1998 (vgl. Beschluss vom<br />
11.11.1997 – 1 ABR 21/97) so entschieden<br />
– und damit die Kooperationsbereitschaft<br />
auf Seiten der <strong>Daten</strong>schutzbeauftragten<br />
nicht unbedingt erhöht.<br />
Die Einhaltung der Vorschriften<br />
des Bundesdatenschutzgesetzes muss<br />
der Betriebsrat selbst in einer Art freiwilligen<br />
Selbstkontrolle gewährleisten.<br />
Hierzu ist er verpflichtet (siehe auch:<br />
Bundesarbeitsgericht vom 12.08.2009,<br />
dbr 4/2010, Seite 37).<br />
Kontrolle durch den Betriebsrat<br />
ist unerlässlich<br />
Der Betriebsrat muss überwachen, inwieweit<br />
der betriebliche <strong>Daten</strong>schutzbeauftragte<br />
rechtmäßig bestellt ist,<br />
die erforderliche Fachkunde aufweist<br />
und seinen Aufgaben gemäß § 4g<br />
BDSG ordnungsgemäß nachkommt.<br />
Gleichwohl gibt es kein Kontrollmonopol<br />
für den Beschäftigtendatenschutz<br />
(vgl. § 32 BDSG), weder beim Betriebsrat<br />
noch beim <strong>Daten</strong>schutzbeauftragten.<br />
Deshalb ist es sinnvoll,<br />
den betrieblichen <strong>Daten</strong>schutzbeauftragten<br />
für eine langfristige Zusammenarbeit<br />
mit dem Betriebsrat zu gewinnen.<br />
Dabei sollten alle gesetzlichen<br />
und informellen Möglichkeiten<br />
der Zusammenarbeit und gegenseitigen<br />
Information genutzt werden. Allerdings<br />
sollte sorgfältig darauf geachtet<br />
werden, dass die jeweilige Unabhängigkeit<br />
nicht gefährdet wird.<br />
Angesichts der oft vorhandenen Mängel<br />
in der Praxis der betrieblichen <strong>Daten</strong>schützer<br />
und der unzulänglichen<br />
Personalausstattung bei den Aufsichtsbehörden<br />
für die Kontrolle der <strong>Betriebe</strong><br />
sollte der Betriebsrat wissen: Beim Beschäftigtendatenschutz<br />
kommt es vor<br />
allem auf die Kontrolle durch die Arbeitnehmervertretung<br />
an. Der <strong>Daten</strong>schutzbeauftragte<br />
kann dem Arbeitgeber nur<br />
empfehlen, bestimmte Maßnahmen<br />
vorzunehmen oder zu unterlassen. Nur<br />
der Betriebsrat hat die Möglichkeit,<br />
den Beschäftigtendatenschutz notfalls<br />
mithilfe der Arbeitsgerichte umzusetzen.■■
TECHNIK + MITBESTIMMUNG<br />
SAP-Vereinbarungen am<br />
System überprüfen<br />
Matthias Wilke / Eberhard Kiesche<br />
HIER LESEN SIE :<br />
� wie praxisbezogene Voraussetzungen, Methoden und Vorgehensweisen für die Überwachung<br />
von SAP-Vereinbarungen am System aussehen können<br />
� warum beim Erstellen von Betriebs- und Dienstvereinbarungen auch das SAP-Prüfkonzept<br />
bedacht werden muss<br />
SAP wird im Betrieb eingeführt. Belegschaftsvertretungen lassen sich schulen und stellen Forderungen an den<br />
SAP-Einsatz auf. Irgendwann ist der Entwurf einer SAP-Vereinbarung erstellt, langwierig mit dem Arbeitgeber<br />
verhandelt und tritt endlich in Kraft. Aber: Damit fängt die Arbeit der Betriebs- und Personalräte eigentlich erst<br />
an. Die Vereinbarung legt nämlich in der Regel auch fest, dass sie am System prüfen können, ob die enthaltenen<br />
Bestimmungen vom Arbeitgeber auch eingehalten werden – was sich oft als problematisch herausstellt. Im<br />
Folgenden werden deshalb praxisbezogene Überlegungen zu den Voraussetzungen, Methoden und Vorgehensweisen<br />
für die Überwachung von SAP-Vereinbarungen am System dargestellt.<br />
Schon vor Längerem wurde festgestellt,<br />
dass Betriebs- und Dienstvereinbarungen<br />
unsystematisch oder oftmals überhaupt<br />
nicht kontrolliert werden. 1 Es gibt zwar mittlerweile<br />
eine Fülle von praktischen Hinweisen2<br />
und Materialien3 zur Mitbestimmung<br />
und Überprüfung des SAP-Systems, dennoch<br />
werden SAP-Vereinbarungen in der<br />
Regel vor allem abgelegt. Auch der betriebliche<br />
<strong>Daten</strong>schutzbeauftragte (bDSB) muss<br />
sich häufig darauf verlassen, dass schon<br />
alles in Ordnung sein wird. Spätestens bei<br />
<strong>Daten</strong>pannen auch bei der Anwendung<br />
von � SAP ERP stellt sich dann mit Macht<br />
die Frage, wie eine solche Prüfung am System<br />
vorzunehmen ist. 4<br />
Das Problem ist nicht neu: Änderungen<br />
im System werden nicht eingepflegt, die<br />
Anlagen zu <strong>Daten</strong>katalogen, Auswertungen,<br />
Schnittstellen und Zugriffsberechtigungen<br />
werden nicht mehr mitbestimmt und<br />
fortgeschrieben. Wesentliche Änderungen<br />
an den Funktionen und dem vereinbarten<br />
Umfang des ERP-Systems „schleichen“ sich<br />
auf lange Sicht ein. Dadurch kommt es zur<br />
Mitbestimmungspanne. Der eigentliche<br />
Zweck der Vereinbarung, nämlich den Einzelnen<br />
davor zu schützen, dass er durch den<br />
Umgang mit seinen personenbezogenen<br />
<strong>Daten</strong> in seinem Persönlichkeitsrecht beeinträchtigt<br />
wird, ist dann verfehlt.<br />
Wie kann also die Einhaltung von detaillierten<br />
IT-Vereinbarungen überhaupt überwacht<br />
werden? 5<br />
Dies ist für den jeweiligen Betriebs- und<br />
Personalrat keine leichte Aufgabe, denn er<br />
muss stets aufs Neue überprüfen, ob die<br />
enthaltenen Regelungen noch aktuell sind<br />
und die Anlagen das eingesetzte SAP-System<br />
noch richtig abbilden.<br />
Interessenvertretungen müssen effizient<br />
und effektiv am SAP-System prüfen können.<br />
Hierfür brauchen sie gewisse Ressourcen,<br />
die ihnen vom Arbeitgeber zur Verfügung<br />
zu stellen sind. Außerdem benötigen sie<br />
ausreichend Zeit und gezieltes Know-how<br />
zu SAP ERP, Kontrollkonzepten und Berechtigungen/Rollen.<br />
Kontrollmöglichkeiten<br />
am SAP-System<br />
Betriebsräte haben nach § 80 Abs. 1 Nr. 1<br />
BetrVG das Recht und die Pflicht zu überwachen,<br />
ob sämtliche zugunsten der Beschäftigten<br />
geltenden Gesetze, Tarifverträge<br />
und Betriebsvereinbarungen eingehalten<br />
werden.<br />
Daraus leitet sich das Recht auf jederzeitige<br />
anlassunabhängige Kontrolle von SAP-<br />
Systemen ab – auch <strong>ohne</strong> Betriebsvereinbarung.<br />
Der Arbeitgeber ist verpflichtet, den<br />
Betriebsrat bei diesen Kontrollen nach allen<br />
Kräften zu unterstützen. Bei einer Kontrolle<br />
am System kann sich im Einzelfall eine Kooperation<br />
mit dem internen bDSB anbieten.<br />
Außerdem können hierfür auch externe<br />
Sachverständige nach § 80 Abs. 3 BetrVG<br />
hinzugezogen werden. 6 Der Betriebsrat hat<br />
überdies ein Einsichtsrecht in alle bestehenden<br />
Dateien, unter Umständen auch in solche,<br />
in denen personenbezogene <strong>Daten</strong> der<br />
Beschäftigten gespeichert sind.<br />
63
Belegschaftsvertretungen können die<br />
Einführung und die Anwendung von ERP<br />
nach § 87 Abs. 1 Nr. 6 BetrVG und § 75 Abs. 3<br />
Nr. 17 BPersVG in allen Einzelheiten mitbestimmen.<br />
Schließlich ist SAP ERP und insbesondere<br />
die Personalkomponente HR eine<br />
technische Überwachungseinrichtung, die<br />
sich zu Leistungs- und Verhaltenskontrollen<br />
objektiv eignet.<br />
Eine Betriebs- bzw. Dienstvereinbarung<br />
zu SAP ERP ist erzwingbar. Außerdem ist sie<br />
eine andere Rechtsvorschrift, die die Erhebung,<br />
Verarbeitung und Nutzung von personenbezogenen<br />
<strong>Daten</strong> der Beschäftigten<br />
erlaubt. Dabei dürfen selbstverständlich die<br />
Bestimmungen des Bundesdatenschutzgesetzes<br />
(BDSG) nicht unterschritten werden.<br />
Die SAP-Betriebsvereinbarung<br />
Werden im Unternehmen von SAP ERP mehrere<br />
Komponenten wie z. B. Rechnungswesen<br />
und Personal eingesetzt, bietet sich<br />
oftmals der Abschluss einer Rahmenvereinbarung<br />
an. Darin lassen sich grundsätzliche<br />
Themen wie z. B. <strong>Daten</strong>schutz, Ausschluss<br />
von Leistungs- und Verhaltenskontrollen,<br />
Gesundheitsschutz am Bildschirmarbeitsplatz<br />
und Qualifizierung regeln, so dass in<br />
den dann notfalls erforderlichen Einzelvereinbarungen<br />
nicht wieder alles aufs<br />
Neue geregelt werden muss. Oftmals wird<br />
aber auch nur eine Einzelvereinbarung<br />
zu SAP ERP HR abgeschlossen und auf die<br />
Regelung weiterer SAP-Komponenten und<br />
Lösungen verzichtet. Sowohl in einer Rahmen-<br />
als auch in einer Einzelvereinbarung<br />
64<br />
sollten Grundlagen für eine spätere Kontrolle<br />
durch die Interessenvertretung gelegt<br />
werden. Die Vereinbarung ist klar und<br />
systematisch zu strukturieren. 7 Es muss eindeutig<br />
geregelt sein, welche Komponenten<br />
und Lösungen von SAP ERP im eigenen Unternehmen<br />
zum Zeitpunkt des Abschlusses<br />
der Vereinbarung eingesetzt werden. Der<br />
exakte Release stand bzw. die Komponentenversion<br />
von SAP ERP zum Zeitpunkt des<br />
Abschlusses der Vereinbarung muss ebenfalls<br />
bezeichnet werden, damit Versionswechsel<br />
deutlich erkennbar und frühzeitig<br />
mitbestimmt werden können.<br />
Außerdem ist zu dokumentieren, welche<br />
SAP-Systeme auf welcher Hardware wo<br />
eingesetzt werden, damit auf Dauer nachhaltig<br />
kontrolliert werden kann. Auf eine<br />
ausreichende Systemdokumentation (z. B.<br />
Serververbund, Konfigurationsübersicht)<br />
kann keinesfalls verzichtet werden.<br />
Vereinbarung muss alle SAP-Systeme<br />
erfassen<br />
Die jeweilige Systemlandschaft im Unternehmen<br />
ist abzubilden, so sind z. B. immer<br />
Entwicklungs-, Test-, Qualitäts- und Produktivsysteme<br />
zu dokumentieren. In großen<br />
Unternehmen können z. B. 50 SAP-Systeme<br />
und mehr genutzt werden. Auch zum Test-<br />
oder Entwicklungssystem sind erforderliche<br />
Bestimmungen in der Vereinbarung dann<br />
aufzunehmen, wenn dort personenbezogene<br />
<strong>Daten</strong> der Beschäftigten verarbeitet<br />
werden. Im Entwicklungssystem arbeiten<br />
in der Regel externe Berater, die Einblick<br />
TECHNIK + MITBESTIMMUNG<br />
in personenbezogene <strong>Daten</strong> der Beschäftigten<br />
erhalten, wenn dort zu Test- oder<br />
Entwicklungszwecken diese <strong>Daten</strong> genutzt<br />
werden.<br />
Es sollte von daher festgelegt werden,<br />
welche Systeme mit welchen � Mandanten<br />
insgesamt vom Unternehmen genutzt<br />
werden. Auch der Mandant auf einem SAP-<br />
Testsystem kann als Prüfbereich für eine<br />
Kontrolle durch die Arbeitnehmervertretung<br />
durchaus interessant sein.<br />
Mit Positivkatalogen arbeiten<br />
Die SAP-Vereinbarung insgesamt muss eindeutig<br />
dokumentieren, was erlaubt ist.<br />
Es muss stets mit Positivkatalogen (� Infotypen<br />
mit <strong>Daten</strong>feldern und Zweckbestimmungen,<br />
Auswertungen, Berechtigungen,<br />
Schnittstellen, Aufbewahrungsfristen,<br />
Screenshots usw.) gearbeitet werden, die<br />
das Zulässige klar beschreiben. Nur so können<br />
die schier unendlichen Nutzungsmöglichkeiten<br />
von SAP ERP etwas eingegrenzt<br />
werden.<br />
Nicht genutzte <strong>Daten</strong>felder und Subtypen<br />
in den Infotypen (SAP HR) müssen<br />
ausgeblendet werden. Alle Regeln zur Erhebung,<br />
Verarbeitung und Nutzung von personenbezogenen<br />
<strong>Daten</strong> der Beschäftigten<br />
müssen zudem bereits in der Vereinbarung<br />
eindeutig auf Einhaltung überprüfbar formuliert<br />
sein. Alle Einstellungen und Verfahren<br />
in den SAP-Systemen müssen nachvollziehbar<br />
dokumentiert sein. Freie Textfelder<br />
sind zu untersagen bzw. für Suchfunktionen<br />
zu sperren.
TECHNIK + MITBESTIMMUNG<br />
PRÜFFRAGEN IM BEREICH DES BERECHTIGUNGSKONZEPTS<br />
� Welche Rollen gibt es?<br />
� Wie und warum werden die Berechtigungen vergeben?<br />
� Wer hat welche Berechtigungen, die auf besonders schutzwürdige sensible<br />
Infotypen (z.B. § 3 Abs. 9 BDSG) und <strong>Daten</strong>felder zugreifen?<br />
� Welche Rolle hat besonders viele Transaktionen zugeordnet bekommen und<br />
wer hat diese Rolle?<br />
� Gibt es Rollen, die vollumfänglich auf HR-<strong>Daten</strong> und Tabellen zugreifen dürfen? Wer<br />
darf nur lesen oder auch ändern?<br />
� Welche Rollen dürfen SAP-Auswertungen ausführen und warum?<br />
� Wer darf Reporting-Werkzeuge für welche Zwecke nutzen?<br />
� Welche Protokollierungen sind eingeschaltet?<br />
� Wird dazu die Zweckbindung nach § 31 BDSG eingehalten?<br />
� Wer darf Berechtigungsrollen ändern?<br />
VERSION UND KOMPONENTEN VON SAP PRÜFEN<br />
� Prüfhandlung im Menü: � System � Status � Komponentenversion<br />
� Erläuterung: Überprüfen der Versionen von SAP ERP und der eingesetzten<br />
Komponenten<br />
ABBILDUNG DES UNTERNEHMENS IN SAP MIT BERECHTIGUNGEN<br />
T000 vorhandene Mandanten<br />
TSYT vorhandene miteinander verbundene SAP-Systeme<br />
T001 Liste der Buchungskreise pro System<br />
T001P Liste der Personalbereiche (Mandant, Personalbereich, Personal-Teilbereich)<br />
T500P Liste Mandant / Personalbereich / Land / Buchungskreis<br />
SAP Business Workflows<br />
beachten<br />
Betriebs- und Personalräte sollten möglichst<br />
den Einsatz von Workflows in SAP<br />
ERP regeln. Workflows strukturieren und<br />
automatisieren arbeitsteilige und betriebswirtschaftliche<br />
Abläufe, dies wird oftmals<br />
vergessen. Workflows können betriebliche<br />
Eskalationsprozeduren enthalten und dann<br />
bei Konflikten auch für Leistungs- und Verhaltenskontrollen<br />
genutzt werden.<br />
Auch solche Workflows sind nach § 87<br />
Abs. 1 Nr. 6 BetrVG mitbestimmungspflichtig.<br />
Grundsätzlich zu verhindern sind sie<br />
nicht. Aber sie können in ihren Auswirkungen<br />
begrenzt werden. Arbeitsrechtliche<br />
Maßnahmen aufgrund der Auswertung von<br />
Workflow-Abläufen sind unzulässig, entsprechende<br />
Informationen dürfen nicht für<br />
arbeitsrechtliche Maßnahmen verwendet<br />
werden.<br />
Berechtigungskonzept<br />
als Projekt<br />
Das Berechtigungskonzept sollte detailliert<br />
und entsprechend nachvollziehbar ausgearbeitet<br />
werden (siehe Kasten ganz oben).<br />
SAP veröffentlicht dazu entsprechende<br />
<strong>Daten</strong>schutz- und Sicherheitsleitfäden, die<br />
den technisch-organisatorischen Rahmen<br />
für ein Berechtigungskonzept bilden.<br />
Die Umsetzung obliegt in der Regel den<br />
beauftragten Mitarbeitern im Unternehmen<br />
und den Beratern im Projekt. Ohne entsprechende<br />
Arbeiten kann kein vernünftiges<br />
Berechtigungskonzept erstellt und den datenschutzrechtlichen<br />
Anforderungen entsprochen<br />
werden. 8<br />
Kontrolle setzt Zugang zum<br />
System voraus<br />
Betriebspolitisch muss ein Zugang zum<br />
System für ausgewählte Mitglieder des Be-<br />
triebs- bzw. Personalrats durchgesetzt und<br />
vereinbart werden. Hierfür ist die erforderliche<br />
Informationstechnik zur Verfügung<br />
zu stellen. Die zuständige Vertretung muss<br />
einen SAP-Benutzer und eine Kennung für<br />
den Zugang zu den SAP-Systemen mit seinen<br />
Mandanten erhalten. Dazu benötigt<br />
sie ein � SAP GUI. Für die Durchführung<br />
der Prüfungen benötigt sie auch entsprechende<br />
Zugriffsrechte pro System/Mandant.<br />
Diese können ihr über Prüf-Rollen, z. B.<br />
Auditor-Rollen zum <strong>Daten</strong>schutz, zugewiesen<br />
werden.<br />
In diesem Zusammenhang stellt sich<br />
zusätzlich die Frage, ob der Betriebs-/Personalrat<br />
für die Überprüfung von SAP-Vereinbarungen<br />
am System das Audit Information<br />
System (AIS) nutzen oder eine SAP-Prüfsoftware<br />
einsetzen sollte.<br />
Das SAP-Prüfkonzept<br />
Auf das AIS sollte eigentlich nicht mehr gesetzt<br />
werden, da SAP ab R/3 Version 4.6 c<br />
das AIS in seiner bisherigen Form nicht mehr<br />
pflegt und entsprechende Prüfhandlungen<br />
in menübasierte Auditor-Rollen (Transaktions-<br />
und Berechtigungsrollen) zusammengefasst<br />
sind. 9 Die Standard-Auditor-Rollen<br />
müssen immer an die betrieblichen Strukturen<br />
angepasst werden. Eine Mitarbeitervertretung<br />
ist oft nicht in der Lage, mit dem AIS<br />
so zu arbeiten, dass sie damit noch sinnvolle<br />
Kontrollen durchführen könnte. Prüfungen<br />
können und müssen inzwischen auch <strong>ohne</strong><br />
AIS durchgeführt werden (siehe die Kästen<br />
2 und 3 links).<br />
SAP-Prüfsoftware<br />
unerlässlich? 10<br />
Inzwischen existiert eine ganze Reihe automatisierter<br />
Prüftools für SAP ERP, so z. B.<br />
Auditor, mesaforte, SAST oder CheckAud.<br />
Eine Prüfung mit einem dieser Prüftools ist<br />
aufwendig und setzt zudem viele SAP-Vorkenntnisse<br />
voraus. Die Prüfung folgt zudem<br />
oftmals internen Regeln, die immer erst auf<br />
den eigenen betrieblichen Bedarf anzupassen<br />
sind und läuft dann weitgehend automatisiert<br />
ab.<br />
Die Prüfsoftware zu SAP dient nach unserer<br />
Ansicht nicht primär der Unterstützung<br />
des Betriebs-/Personalrats im Sinne<br />
von „Hilfe zur Selbsthilfe“ und vereinfacht<br />
nicht zwingend die Prüfung. Die Regeln,<br />
65
nach der die Software arbeitet, sind für eine<br />
Belegschaftsvertretung, die sich nicht jeden<br />
Tag mit SAP ERP beschäftigt, nur schwierig<br />
zu enträtseln. Die Prüfregeln müssten dann<br />
bei einigen Tools auch selbst eingestellt werden.<br />
Die Frage stellt sich zudem, wie schwer<br />
oder einfach es ist, im Prüftool hinterlegte<br />
Prüfregeln zu modifizieren. Der Einsatz von<br />
SAP-Prüfsoftware erleichtert es nicht unbedingt,<br />
SAP und die damit ablaufenden Prozesse<br />
in erster Linie besser zu verstehen und<br />
nachvollziehen zu können.<br />
Hinzu kommt, dass in bestimmten Branchen,<br />
z. B. im Einzelhandel, der Einsatz solcher<br />
Prüfsoftware oft sehr schwer durchzusetzen<br />
ist. Unabhängig von deren Einsatz ist<br />
in jedem Einzelfall ein modulares, anpassbares<br />
und vom Umfang noch handhabbares<br />
Prüfkonzept zu entwickeln. Eckpunkte<br />
eines prozessorientierten Zugangs zu einer<br />
ständigen und nachhaltigen Kontrolle von<br />
SAP ERP werden im Folgenden dargestellt.<br />
Mit einem einfachen Prüfkonzept<br />
beginnen<br />
Das betriebsbezogene Prüfkonzept sollte<br />
mitwachsen. Am Beginn wird sich die Belegschaftsvertretung<br />
dabei auf das Wesentliche<br />
konzentrieren und nach jeder Prüfung<br />
66<br />
dann das Konzept fortschreiben. Prüfinhalte<br />
und -strategie verändern sich dann über<br />
die Jahre hinweg entsprechend der betrieblichen<br />
Anwendung von SAP ERP.<br />
Ein solches versionsorientiertes betriebsbezogenes<br />
Prüfkonzept sollte zudem<br />
unbedingt von den Vorkenntnissen der<br />
prüfenden Vertretungen ausgehen und je<br />
nach betrieblichen Erfordernissen, Grad der<br />
Gefährdung des Persönlichkeitsrechts, zeitlichen<br />
Kapazitäten, Größe des Unternehmens<br />
und Zielsetzungen unterschiedlich<br />
detailliert ausgestaltet sein. 11<br />
Schrittweise vorgehen<br />
Betriebs- und Personalräte sollten nicht den<br />
Anspruch erheben, alle vereinbarten SAP-<br />
Einstellungen und -Regelungen sofort in<br />
einer Kontrollmaßnahme prüfen zu wollen.<br />
Sie verständigen sich besser zu Beginn<br />
des Kontrollprozesses darauf, schrittweise<br />
vorzugehen und zunächst nur ausgewählte<br />
besonders wichtige Merkmale des Einsatzes<br />
von SAP ERP zu prüfen. Auch hier gilt: Weniger<br />
ist bei der Kontrolle von SAP am System<br />
oft mehr. Es geht im Sinne der Betriebspolitik<br />
vorrangig darum, Kompetenz zu zeigen.<br />
Im Betrieb sollten Interessenvertretungen<br />
also Öffentlichkeit für die Handha-<br />
TECHNIK + MITBESTIMMUNG<br />
bung von SAP ERP schaffen und so insbesondere<br />
bei der Personal- und IT-Abteilung,<br />
anderen SAP-Nutzern und beim bDSB<br />
Aufmerksamkeit für einen datenschutzgerechten<br />
Einsatz von SAP ERP erzeugen.<br />
Betriebs-und Personalräte sollten durch die<br />
Prüfung am System signalisieren, dass sie<br />
sich um den Einsatz von SAP ERP im Betrieb<br />
„kümmern“.<br />
Kontinuierliche Prüfungen<br />
im Verbund<br />
Die in SAP integrierte Prüf-<br />
Software ist nicht in erster<br />
Linie zur Unterstützung von<br />
Betriebs- und Personalräten<br />
gedacht und erleichtert<br />
deren Prüfungsaufgaben<br />
deshalb nicht unbedingt …<br />
Die Kontrolle sollte von Beginn an als ständige<br />
Aufgabe geplant werden Sie kann<br />
monatlich, quartalsweise oder halbjährlich<br />
vorgenommen werden. Zusätzlich sollten<br />
Belegschaftsvertretungen auf besondere<br />
Anlässe reagieren. Wenn sie z. B. von <strong>Daten</strong>schutzpannen<br />
mit SAP oder von einem<br />
bevorstehenden Releasewechsel erfahren,<br />
können sie dies für eine erneute anlassbezogene<br />
Prüfung nutzen.<br />
Sie sollten sich Bündnispartner suchen,<br />
z. B. in der IT-Abteilung, um an alle gewünschten<br />
Informationen über den SAP-<br />
Einsatz jederzeit heranzukommen. Häufig<br />
werden die Kontrollen und der Einblick ins<br />
System paradoxerweise mit dem Hinweis<br />
auf den <strong>Daten</strong>schutz verwehrt. Dies würde
TECHNIK + MITBESTIMMUNG<br />
GRUNDSÄTZLICH WICHTIGE PRÜFFRAGEN<br />
� Welche Systemlandschaften, Mandanten und Buchungskreisläufe und Personalbereiche<br />
sind eingerichtet?<br />
� Welche Notfallbenutzer sind im unternehmenseigenen SAP ERP berechtigt?<br />
Wer hat kritische Berechtigungen wie z. B. SAP* oder SAP_All oder HR-ALL?<br />
� Welche Systemversion und welche Komponenten werden genutzt?<br />
Welche Komponenten von HR werden genutzt?<br />
� Wer startet welche Berichte und Auswertungen (Berechtigungskonzept)?<br />
� Wer hat die Berechtigung, personenbezogene <strong>Daten</strong> z. B. aus HR in Office-<br />
Programme herunterzuladen (Download-Berechtigung)?<br />
� Welche Infotypen mit personenbezogenen <strong>Daten</strong> werden in HR genutzt?<br />
� Welche unternehmenseigenen Transaktionen, Reports und Infotypen werden<br />
genutzt? Sind diese Reports und Infotypen selbsterklärungsfähig beschrieben und<br />
ausreichend geschützt?<br />
� Sind alle Reports aus dem Bereich Personal der entsprechenden Berechtigungsgruppe<br />
zugewiesen?<br />
� Ist für das Aufrufen von Reports die Berechtigungsprüfung eingestellt<br />
(über Berechtigungsgruppen, über Starttransaktionen) und werden Reportstarts<br />
protokolliert?<br />
jedoch den Sinn der Aufgabe, „darüber (zu)<br />
wachen, dass die zugunsten der Arbeitnehmer<br />
geltenden Gesetze“ und somit auch<br />
das BDSG eingehalten werden, völlig auf<br />
den Kopf stellen. Denn gerade aus dieser<br />
Überwachungsaufgabe ergibt sich die Notwendigkeit,<br />
dass die Vertretung Kontrollen<br />
am SAP-System vornimmt. Sie muss wissen,<br />
welche personenbezogenen <strong>Daten</strong> der Arbeitnehmer<br />
gespeichert werden.<br />
Das Bundesarbeitsgericht hat dazu festgestellt,<br />
dass der Arbeitgeber verpflichtet<br />
ist, umfassend über alle Formen der Verarbeitung<br />
personenbezogener <strong>Daten</strong> der<br />
Arbeitnehmer zu unterrichten; denn der<br />
Betriebsrat ist nicht Dritter, sondern Teil der<br />
verantwortlichen Stelle. 12<br />
Schulung für Kontrolle am<br />
SAP-System erforderlich<br />
Für eine informierte Prüfung am System<br />
benötigen Interessenvertretungen Grundlagenwissen<br />
über SAP ERP, das heißt ein<br />
grundlegendes Verständnis von SAP-Lösungen<br />
und -Komponenten, Systemumgebung,<br />
Navigation und Hilfefunktionen,<br />
übergreifende Business-Szenarien, Grundlagen<br />
der Personalwirtschaft und natürlich<br />
auch vom Berechtigungskonzept und von<br />
<strong>Daten</strong>schutzvorkehrungen.<br />
Die Bedeutung und Funktionsweisen einzelner<br />
SAP-Produkte wie z. B. SAP Business<br />
Information Warehouse oder SAP NetWeaver<br />
müssen klar sein.<br />
Auch mit Blick auf das selbst erstellte<br />
Prüfkonzept sollten sie die Begrifflichkeiten<br />
von SAP ERP nachvollziehen können. Allein<br />
mit der Kenntnis der Begriffe aus dem SAP-<br />
Umfeld kann man sich als Belegschaftsvertretung<br />
bereits Respekt und Wissensvorsprung<br />
verschaffen.<br />
Nicht nur am System prüfen<br />
Betriebs-/Personalräte sollten vor einer<br />
Prüfung am System im ersten Schritt die<br />
vorliegenden Anlagen zur Vereinbarung in<br />
Papierform hinzuziehen, entsprechende<br />
Fragen z. B. zum <strong>Daten</strong>katalog oder Schnittstellenverzeichnis<br />
formulieren und erst danach<br />
in einem zweiten Schritt eine Überprüfung<br />
am System vornehmen.<br />
Wichtige Fragen, die auch an die Anlagen<br />
einer SAP-Vereinbarung zu stellen sind,<br />
lassen sich dem SAP-<strong>Daten</strong>schutzleitfaden<br />
aus dem Jahr 2008 entnehmen. 13 Dieser ist<br />
unter Beschäftigtendatenschutzgesichtspunkten<br />
interessant. Er enthält besonders<br />
für Fortgeschrittene in der Prüfung von SAP<br />
am System eine Fülle von Prüfhandlungen<br />
und -ideen, die nach und nach praktisch je<br />
nach betrieblichem Bedarf erprobt werden<br />
können und dies – wo immer möglich – in<br />
Kooperation mit dem bDSB.<br />
Prüfgegenstände in einem<br />
SAP-Prüfkonzept<br />
Ganz entscheidend ist die Frage, wer was<br />
mit welchen personenbezogenen <strong>Daten</strong><br />
machen darf. Das Berechtigungskonzept<br />
regelt genau diese Fragen und ist bereits in<br />
der entsprechenden Anlage zur SAP-Vereinbarung<br />
sorgfältig zu analysieren.<br />
Ein Hinweis dazu: Dem Berechtigungskonzept<br />
sollte schon in der Phase der Erarbeitung<br />
einer Betriebs-/Dienstvereinbarung<br />
eine große Bedeutung zukommen.<br />
Was einmal vereinbart ist, lässt sich in vielen<br />
Praxisfällen nur schwer korrigieren.<br />
Hier bietet es sich an, grundsätzlich das<br />
Berechtigungskonzept in Form einer Excel-<br />
Tabelle als Datei zu vereinbaren, damit es<br />
überhaupt sinnvoll nachvollzogen und<br />
überprüft werden kann.<br />
Wenn es Berechtigungsrollen oder -profile<br />
gibt, die auf sehr viele Transaktionen<br />
zugreifen dürfen, ist zu überprüfen, welche<br />
Inhaber bzw. Träger der Berechtigungen<br />
diese Rollen ausführen können.<br />
SAP_All ist ein kritisches Berechtigungsprofil.<br />
Es wird von SAP bereitgestellt und<br />
erlaubt alle Aktivitäten im System. SAP_ALL<br />
ist aber keinesfalls die einzige umfängliche<br />
Berechtigung. Die Anzahl der Benutzer<br />
mit SAP_ALL sollte auf ein Minimum (zwei<br />
bis drei Mitarbeiter) reduziert sein. Die Erfahrung<br />
zeigt, dass IT-Verantwortliche bei<br />
der Gestaltung von Berechtigungen viel<br />
Phantasie entwickeln, das Thema SAP_ALL<br />
zu umgehen und trotzdem sehr umfangreiche<br />
Berechtigungen für einzelne Nutzer<br />
entwickeln.<br />
Die Einhaltung des Prinzips der „geringsten<br />
Berechtigungen“ kann oftmals schon<br />
durch einfache Fragen an die verantwortlichen<br />
Personen im Unternehmen überprüft<br />
werden. Ebenso kann der interne Prozess<br />
der Berechtigungsvergabe grafisch veranschaulicht<br />
und nachgeprüft werden (Einhaltung<br />
des Vier-Augen-Prinzips).<br />
Elemente des Prüfkonzeptes und<br />
Durchführung der Prüfung<br />
Das betriebsspezifische Prüfkonzept ist<br />
so anzulegen, dass der Betriebsrat mit der<br />
67
Eingabe von Kurzbefehlen (Transaktionen,<br />
Tabellenaufrufe) die entsprechenden Funktionen<br />
von SAP ERP aufrufen kann.<br />
Das betriebliche SAP-Prüfkonzept sollte<br />
zunächst nur die unbedingt erforderlichen<br />
Transaktionen, Tabellen, Reports und<br />
Berechtigungen für einen Einstieg in eine<br />
langfristig angelegte Kontrolle beinhalten,<br />
am Besten nicht mehr als 20 Prüfhandlungen.<br />
Vollständigkeit ist dabei ausdrücklich<br />
nicht anzustreben.<br />
Vorab sollte eine Schwachstellenanalyse<br />
durchgeführt werden, die besondere Risiken<br />
im SAP-ERP-Einsatz aus Arbeitnehmersicht<br />
identifiziert und anschließend müssen<br />
Prioritäten im Sinne einer A-B-C-Analyse<br />
definiert werden. Schwerpunktebereiche<br />
der Kontrolle sind sicherlich das Berechtigungskonzept,<br />
Systemeinstellungen und<br />
die Protokollierung von Administrationstätigkeiten.<br />
Jede Prüfung ist zu dokumentieren und<br />
auszuwerten. Neue sich ergebende Fragen<br />
und Problemfelder sind gegebenenfalls<br />
mit weiteren Prüfhandlungen zu bearbeiten<br />
und das Prüfkonzept fortzuschreiben.<br />
Kooperationsmöglichkeiten mit bDSB, Systemadministratoren<br />
und IT-Sicherheitsbeauftragten<br />
sind, wann immer möglich, zu<br />
nutzen.<br />
Und noch ein Tipp aus der Praxis: Kontrolliert<br />
wird im Sinne des Gesetzes der<br />
„Arbeitgeber“. In der Regel wird für die Kontrollen<br />
am System, wenn die Belegschaftsvertretung<br />
keinen eigenen SAP-Zugang<br />
und keine eigene Rolle hat, die Hilfe der<br />
Kollegen aus der IT- und Personalabteilung<br />
benötigt. Es liegt auf der Hand, dass deren<br />
Auskunftsfreudigkeit sicher nicht gesteigert<br />
wird, wenn sich diese durch den Betriebs-/<br />
Personalrat überwacht fühlen. Meistens<br />
haben diese Anwender selbst ein Interesse<br />
daran, dass alles vorschriftsmäßig und<br />
gesetzeskonform läuft und die geltenden<br />
<strong>Daten</strong>schutzregeln eingehalten werden. Es<br />
ist also etwas Fingerspitzengefühl bei der<br />
Ankündigung und Durchführung von Kontrollen<br />
erforderlich.<br />
Fazit<br />
Betriebs- und Personalräte können die Einführung<br />
und die Anwendung von SAP ERP<br />
mitbestimmen. Schließlich ist SAP ERP und<br />
68<br />
insbesondere die Personalkomponente HR<br />
eine technische Überwachungseinrichtung,<br />
die sich zu Leistungs- und Verhaltenskontrollen<br />
objektiv eignet. Die SAP-Betriebs-/<br />
Dienstvereinbarung ist eine Rechtsvorschrift,<br />
die die Erhebung, Verarbeitung und<br />
Nutzung von personenbezogenen <strong>Daten</strong><br />
der Beschäftigten erlaubt.<br />
Belegschaftsvertretungen haben zudem<br />
das Recht zu überwachen, ob sämtliche zugunsten<br />
der Beschäftigten geltenden Gesetze,<br />
Tarifverträge und Betriebs- bzw. Dienstvereinbarungen<br />
eingehalten werden.<br />
Aus diesem Überwachungsrecht gemäß<br />
§ 80 Abs. 1 Nr. 1 BetrVG und § 68 Abs. 1 Nr.<br />
2 BPersVG leitet sich das Recht (und auch<br />
die Pflicht) ab, jederzeit anlassunabhängig<br />
zu kontrollieren. Für die Vorbereitung<br />
und Durchführung der Überprüfung ist<br />
ein einfaches, modulares, mitwachsendes<br />
und an der betrieblichen Praxis ausgerichtetes<br />
Prüfkonzept zu entwickeln. Darüber<br />
hinaus kann sich im Einzelfall auch eine Kooperation<br />
mit dem internen bDSB und den<br />
Kollegen in der IT- und Personalabteilung<br />
anbieten. Außerdem können hierfür auch<br />
externe Sachverständige hinzu gezogen<br />
werden. 14<br />
Natürlich können nicht alle vereinbarten<br />
SAP-Einstellungen und -Regelungen sofort<br />
und auf einen Schlag geprüft werden. Wichtig<br />
ist, dass der Betriebs- bzw. Personalrat<br />
mit seiner Prüfung am System signalisiert,<br />
dass er sich um den Einsatz von SAP ERP im<br />
Betrieb kümmert, um so bei allen Beteiligten<br />
ein Bewusstsein für einen datenschutzgerechten<br />
Umgang mit Personaldaten zu<br />
entwickeln. Er sollte deshalb von Beginn<br />
an die SAP-Kontrolle als ständige Aufgabe<br />
verstehen und die Einhaltung von SAP-Vereinbarungen<br />
regelmäßig überprüfen.<br />
Autoren<br />
Matthias Wilke, <strong>Daten</strong>schutz- und Technologieberatung<br />
(dtb), Kassel, info@dtb-kassel.de; Dr. Eberhard<br />
Kiesche, Arbeitnehmerorientierte Beratung (AoB),<br />
Bremen, eberhard.kiesche@t-online.de<br />
Die Autoren danken Dipl.-Ing. (FH) Detlev Sachse (Consultant<br />
für SAP-Software) für Hinweise und Ratschläge.<br />
Lexikon:<br />
Enterprise Resource Planning (ERP) � Sammelbegriff<br />
für Software-Systeme, die alle für die Unternehmenssteuerung<br />
wichtigen <strong>Daten</strong>verarbeitungsfunktionen<br />
zusammenfassen<br />
Graphical User Interface (SAP GUI) � Grafische<br />
Benutzeroberfläche zur Kommunikation mit dem<br />
SAP-System<br />
TECHNIK + MITBESTIMMUNG<br />
Infotypen � Personaldaten, die in inhaltlich logisch<br />
zusammengehörigen Gruppen gespeichert werden<br />
Mandant � Der Mandant ist definiert als für sich<br />
handelsrechtlich, organisatorisch und datentechnisch<br />
abgeschlossene Einheit innerhalb eines SAP-Systems.<br />
Das bedeutet, dass alle betriebswirtschaftlichen <strong>Daten</strong><br />
gegenüber anderen Mandanten geschützt sind; eine<br />
ausführliche Erklärung der Fachbegriffe findet sich<br />
unter http://help.sap.com<br />
Fußnoten<br />
1 Vgl. Westheide, „Wie sollen wir das kontrollieren!?“,<br />
in: Zeitschrift der Arbeitskammer des Saarlandes,<br />
2/1993, 51 ff.<br />
2 Vgl. aktuell: Heidemann, Qualifizierung bei der<br />
Einführung und Erweiterung von SAP; Kübeck, Prozessorientierte<br />
Vereinbarung – Änderungen<br />
in SAP mitbestimmen; Just-Hahn/Konrad-Klein,<br />
Was, warum, wie zu SAP mit SAP prüfen? und sämtliche<br />
Beiträge aus dem SAP-Schwerpunktheft in:<br />
CuA 8-9/2009<br />
3 TBS-Netz (Hrsg.), SAP – kennen, gestalten und prüfen,<br />
2007<br />
4 Das aktuelle Produkt, das SAP R/3 abgelöst hat, ist<br />
SAP ECC 6.0, besser bekannt als SAP ERP; SAP steht<br />
für Systeme, Anwendungen und Produkte in der<br />
<strong>Daten</strong>verarbeitung<br />
5 Wilke, EDV-Vereinbarungen überprüfen!, in:<br />
CF (jetzt: CuA) 2/2001, 15 ff.; ders., Kontrolle vereinbarter<br />
Grundsätze und Regeln, in: CF (jetzt: CuA)<br />
7-8/2006, 23 ff.; Rupp, SAP R/3 kontrollieren – aber<br />
wie?, in: CF (jetzt: CuA) 6/2001, 8ff.<br />
6 Für Personalräte vgl. § 68 Abs. 1 Nr. 2 und § 44<br />
BPersVG und entsprechende LPersVGe sowie die<br />
jeweiligen Landesdatenschutzgesetze<br />
7 BV-Muster zu SAP ERP HR z.B. in: dbr 1/2009, 31 ff.<br />
(vgl. www.dtb-kassel.de unter: Veröffentlichungen)<br />
8 Vgl. hierzu auch Bechmann, Berechtigungsvergabe<br />
datenschutz- und compliancekonform gestalten,<br />
in: CuA 8-9/2009, 15 ff. (16)<br />
9 <strong>Daten</strong>schutzleitfaden SAP ERP 6.0, 11 und 112 ff.;<br />
a.A. Just-Hahn/Konrad-Klein, Was, warum, wie zu<br />
SAP mit SAP prüfen?, in: CuA 8-9/2009, 11 ff. (11). An<br />
jeder Stelle der Transaktion SECR wird immer wieder<br />
auf das neue rollenbasierte Konzept von SAP<br />
verwiesen<br />
10 Der <strong>Daten</strong>schutzleitfaden zu SAP ERP 6.0 von 2009<br />
enthält sich jeder Stellungnahme zu SAP-Prüftools<br />
und geht nur auf SAP GRC ein, das auch Tools zur<br />
Zugriffs- und Berechtigungssteuerung enthält<br />
und das betriebliche vorhandene Berechtigungskonzept<br />
auf Risiken und Probleme prüft; zu GRC<br />
vgl. Konrad-Klein, SAP-Prüftools für Betriebs- und<br />
Personalräte, in: CuA 4/2009, 14 ff. (17)<br />
11 Weitere Prüfhandlungen für die Entwicklung eines<br />
eigenen Prüfkonzepts können bei den Autoren<br />
angefordert werden<br />
12 Vgl. BAG vom 17.3.1987, in: AiB 1994, 635 und BAG<br />
vom 11.11.1997, Az.: 1 ABR 21/97<br />
13 Der <strong>Daten</strong>schutzleitfaden „Leitfaden <strong>Daten</strong>schutz<br />
ERP 6.0“, herausgegeben von der DSAG<br />
Arbeitsgruppe <strong>Daten</strong>schutz, 2008, www.dsag.de/<br />
fileadmin/media/Leitfaeden/080909_<strong>Daten</strong>schutz-<br />
Leitfaden.pdf<br />
14 § 80 Abs. 3 BetrVG und § 44 BPersVG
TECHNIK + MITBESTIMMUNG<br />
SCHWERPUNKT: GESETZGEBUNG ALS BETRIEBSGRUNDLAGE<br />
<strong>Daten</strong>schutz durch <strong>Daten</strong>-<br />
vermeidung und -sparsamkeit<br />
Die neuen Regelungen im Bundesdatenschutzgesetz<br />
Matthias Wilke / Eberhard Kiesche<br />
HIER LESEN SIE:<br />
� welche neuen Möglichkeiten Betriebs- und Personalräte durch die Novelle des Bundesdatenschutzgesetzes<br />
zum Beschäftigtendatenschutz haben<br />
� wie eine Vereinbarung dazu beitragen kann, dass <strong>Daten</strong>vermeidung und -sparsamkeit die neue Leitlinie<br />
im Unternehmen wird<br />
� wie die Interessenvertretung den Arbeitgeber zwingen kann, seine <strong>Daten</strong>verarbeitungssysteme<br />
rechtskonform auszugestalten<br />
2001 wurde in das Bundesdatenschutzgesetz (BDSG) mit dem § 3a eine Vorschrift zur <strong>Daten</strong>vermeidung und<br />
-sparsamkeit eingeführt. Diese Vorschrift führte in der Praxis allerdings nur ein Schattendasein. Betriebsvereinbarungen<br />
verwiesen zwar darauf im Zusammenhang mit der Erforderlichkeit der <strong>Daten</strong>verarbeitung. Die praktische<br />
Umsetzung dieser Vorschrift machte aber erhebliche Probleme. Der zusätzliche Verweis in § 3a BDSG von<br />
2001 auf den Einsatz von Anonymisierung und Pseudonymisierung hat ebenfalls kaum Wirksamkeit entfaltet.<br />
Das Mitführen der völligen Identität der Betroffenen in den <strong>Daten</strong>verarbeitungssystemen sollte dadurch reduziert<br />
werden. Es stellt sich aktuell die Frage, ob mit der vorliegenden BDSG-Novellierung die Situation für einen<br />
umfassenden Beschäftigtendatenschutz besser geworden ist und wie Interessenvertretungen die Umsetzung<br />
des neuen § 3a BDSG realisieren können. Im Folgenden werden die wesentlichen Neuerungen zur <strong>Daten</strong>vermeidung<br />
und -sparsamkeit dargestellt und deren Umsetzung am Beispiel von Kassensystemen erörtert.<br />
Nach dem bisherigen § 3 a BDSG hatten<br />
sich Gestaltung und Auswahl von <strong>Daten</strong>verarbeitungssystemen<br />
an dem Ziel auszurichten,<br />
keine oder so wenig personenbezogene<br />
<strong>Daten</strong> wie möglich zu erheben,<br />
zu verarbeiten oder zu nutzen. In diesem<br />
Zusammenhang sollte insbesondere<br />
von den Möglichkeiten der Anonymisierung<br />
und Pseudonymisierung Gebrauch<br />
gemacht werden, soweit dies möglich ist<br />
und der Aufwand in einem angemessenen<br />
Verhältnis zum angestrebten <strong>Schutz</strong>zweck<br />
steht.<br />
Der Verstoß gegen die Vorschrift nach<br />
dem alten Recht war keine Ordnungswidrigkeit<br />
und damit nicht bußgeldbewehrt.<br />
Ein Verstoß gegen § 3 a BDSG hatte zudem<br />
keine Rechtsfolge bei einer Kontrolle durch<br />
die Aufsichtsbehörde, deren Befugnisse<br />
weitgehend stumpf blieben und die die<br />
Umsetzung der Vorschrift nicht anordnen<br />
konnte.<br />
Dies wurde von Vertretern von <strong>Daten</strong>schutzaufsichtsbehörden<br />
eingeräumt. Nur<br />
Betriebsräte konnten mit ihren Mitbestimmungsrechten<br />
versuchen, in einer Betriebsvereinbarung<br />
auf die Umsetzung dieser Vorschrift<br />
hinzuwirken. Durch die Festlegung<br />
in einer Vereinbarung, welche personenbezogenen<br />
<strong>Daten</strong> der Arbeitnehmer erhoben,<br />
verarbeitet und genutzt werden konnten<br />
und welche Zweckbindung dabei zu beachten<br />
war, konnte zumindest dem „<strong>Daten</strong>hunger“<br />
mancher Arbeitgeber gewisse Gren-<br />
zen gesetzt werden. Dennoch kam es bei<br />
der Einführung von IT-Systemen oftmals<br />
vor, dass durch Betriebsvereinbarung quasi<br />
eine Vollerhebung von personenbezogenen<br />
<strong>Daten</strong> der Arbeitnehmer durch die<br />
technische Kontrolleinrichtung ermöglicht<br />
wurde und nur deren Auswertungs- und<br />
Verarbeitungsmöglichkeiten durch ein mitbestimmtes<br />
Berechtigungskonzept eingeschränkt<br />
wurden. Zumindest in der Präambel<br />
vieler IT-Vereinbarungen fand sich der<br />
Grundsatz der <strong>Daten</strong>sparsamkeit und -vermeidung<br />
wieder, im eigentlichen Text blieb<br />
das dann aber <strong>ohne</strong> allzu weit reichende<br />
inhaltliche Konkretisierung.<br />
Die geringe Wirksamkeit der Bestimmung<br />
zur <strong>Daten</strong>vermeidung und -sparsam-<br />
69
keit in der Praxis wurde indirekt im § 11<br />
<strong>Daten</strong>schutzauditgesetz-Entwurf 1 zugegeben.<br />
Dieser wurde allerdings 2009 wegen<br />
inhaltlicher Kritik zurückgezogen.<br />
Das <strong>Daten</strong>schutzaudit-Gesetz soll jetzt<br />
erst in einem Pilotprojekt getestet werden.<br />
Unternehmen, die künftig ein <strong>Daten</strong>schutz-<br />
Gütesiegel erhalten wollen, sollten nach<br />
dem Auditgesetz-Entwurf zunächst nachweisen,<br />
dass sie die <strong>Daten</strong>schutzvorschriften<br />
nach dem BDSG umsetzen. Zusätzlich<br />
sollten sie die noch vom <strong>Daten</strong>schutzaudit-Ausschuss<br />
zu erlassenden Richtlinien<br />
zur Umsetzung des BDSG 2 einhalten. Die<br />
geplanten Richtlinien sollten sich auf die<br />
in der Praxis sichtbaren Schwachstellen bei<br />
der Umsetzung des <strong>Daten</strong>schutzes in Unternehmen<br />
beziehen. Eine Richtlinie sollte die<br />
betriebliche Umsetzung des § 3 a BDSG zum<br />
Thema haben.<br />
§ 3a BDSG<br />
neu formuliert<br />
Der Gegenstandsbereich der Vorschrift zur<br />
<strong>Daten</strong>vermeidung und -sparsamkeit wird<br />
in der neuen Fassung 2009 präzisiert. Der<br />
Grundsatz der <strong>Daten</strong>sparsamkeit, d. h. so<br />
wenig wie möglich personenbezogene<br />
<strong>Daten</strong> und der Grundsatz der <strong>Daten</strong>vermeidung,<br />
d. h. keine personenbezogene <strong>Daten</strong>,<br />
bezieht sich jetzt nicht nur auf die Auswahl<br />
und Gestaltung von <strong>Daten</strong>verarbeitungssystemen,<br />
sondern zusätzlich auf die Erhebung,<br />
Verarbeitung und Nutzung personenbezogener<br />
<strong>Daten</strong> sowohl innerhalb als<br />
auch außerhalb der automatisierten <strong>Daten</strong>verarbeitung.<br />
Diese Änderungen hängen mit dem<br />
neuen § 32 Abs. 1 und 2 zum Beschäftigtendatenschutz<br />
in Verbindung mit § 28 Abs. 1<br />
BDSG zusammen, der den <strong>Schutz</strong>bereich<br />
auf alle personenbezogenen <strong>Daten</strong> von<br />
Beschäftigten ausweitet, die zur Begründung,<br />
Durchführung und Beendigung eines<br />
Beschäftigungsverhältnisses erforderlich<br />
sind.<br />
Anonymisierung und<br />
Pseudonymisierung<br />
Auch in der neuen Fassung der Vorschrift<br />
wird herausgestellt, dass vor allem personenbezogene<br />
<strong>Daten</strong> dann zu anonymisieren<br />
oder zu pseudonymisieren sind,<br />
70<br />
AUS DEM BUNDESDATENSCHUTZGESETZ<br />
wenn es nach dem Verwendungszweck<br />
möglich ist und keinen im Verhältnis zum<br />
angestrebten <strong>Schutz</strong>zweck unverhältnismäßi<br />
gen Aufwand erfordert.<br />
Bei Maßnahmen der Anonymisierung<br />
von personenbezogenen <strong>Daten</strong> ist eine<br />
Zuordnung von Einzelangaben zu einer<br />
bestimmten Person nicht mehr oder nur<br />
mit einem unverhältnismäßig großen Aufwand<br />
möglich. 3 Bei Maßnahmen der Pseudonymisierung<br />
wird der Name oder andere<br />
Bestimmungsmerkmale durch ein Kennzeichen<br />
ersetzt und damit die Bestimmung des<br />
Betroffenen ausgeschlossen oder wesentlich<br />
erschwert. 4<br />
Erforderlichkeit der personenbezogenen<br />
<strong>Daten</strong><br />
Durch die Neuformulierungen in §§ 3 a und<br />
32 BDSG wird der Grundsatz der <strong>Daten</strong>vermeidung<br />
und -sparsamkeit konkretisiert.<br />
Personenbezogene <strong>Daten</strong> der Beschäftigten<br />
gemäß § 3 Abs. 11 BDSG dürfen für<br />
Zwecke des Beschäftigungsverhältnisses<br />
TECHNIK + MITBESTIMMUNG<br />
§ 3 a BDSG – <strong>Daten</strong>vermeidung und <strong>Daten</strong>sparsamkeit<br />
Die Erhebung, Verarbeitung und Nutzung personenbezogener <strong>Daten</strong> und die Auswahl<br />
und Gestaltung von <strong>Daten</strong>verarbeitungssystemen sind an dem Ziel auszurichten, so<br />
wenig personenbezogene <strong>Daten</strong> wie möglich zu erheben, zu verarbeiten oder zu nutzen.<br />
Insbesondere sind personenbezogene <strong>Daten</strong> zu anonymisieren oder zu pseudonymisieren,<br />
soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis<br />
zu dem angestrebten <strong>Schutz</strong>zweck unverhältnismäßigen Aufwand erfordert.<br />
§ 32 BDSG – <strong>Daten</strong>erhebung, -verarbeitung und -nutzung für Zwecke<br />
des Beschäftigungsverhältnisses<br />
(1) Personenbezogene <strong>Daten</strong> eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses<br />
erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung<br />
über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung<br />
des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung<br />
erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene <strong>Daten</strong> eines<br />
Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende<br />
tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im<br />
Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder<br />
Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten<br />
an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt,<br />
insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.<br />
(2) Absatz 1 ist auch anzuwenden, wenn personenbezogene <strong>Daten</strong> erhoben, verarbeitet<br />
oder genutzt werden, <strong>ohne</strong> dass sie automatisiert verarbeitet oder in oder aus einer<br />
nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung<br />
in einer solchen Datei erhoben werden.<br />
(3) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben<br />
unberührt.<br />
erhoben, verarbeitet oder genutzt werden,<br />
aber nur dann, wenn sie für die Entscheidung<br />
über die Begründung eines Beschäftigungsverhältnisses<br />
oder nach Begründung<br />
des Beschäftigungsverhältnisses für<br />
die Durchführung oder Beendigung erforderlich<br />
sind (§ 32 Satz 1 BDSG).<br />
Vorher stand im § 28 Abs. 1 Nr. 1 BDSG<br />
die weichere Formulierung, dass die <strong>Daten</strong><br />
dem Zweck des Arbeitsverhältnisses dienen<br />
mussten. 5 Zudem ist jetzt die Verarbeitung<br />
von <strong>Daten</strong> einbezogen. Bei der Umsetzung<br />
des neuen § 3 a BDSG heißt das im Hinblick<br />
auf § 32 BDSG, dass nunmehr ausdrücklich<br />
für jedes personenbezogene Datum der<br />
Beschäftigten im festzulegenden <strong>Daten</strong>katalog<br />
als Anlage zur Betriebsvereinbarung<br />
die Erforderlichkeit abgeprüft werden muss.<br />
Diese ist vom Arbeitgeber nachzuweisen.<br />
Die Zielvorgabe der <strong>Daten</strong>vermeidung und<br />
-sparsamkeit hat sich in erster Linie an der<br />
Erforderlichkeit und Begrenztheit der <strong>Daten</strong><br />
für einen berechtigten Zweck im Beschäftigungsverhältnis<br />
auszurichten.
TECHNIK + MITBESTIMMUNG<br />
Neue Rechte für<br />
Aufsichts behörden<br />
Leider ist festzustellen: Auch im novellierten<br />
BDSG ist ein Verstoß gegen § 3 a<br />
keine Ordnungswidrigkeit. Die Bußgeldvorschriften<br />
insgesamt sind allerdings erweitert.<br />
In § 38 Abs. 5 sind aber die Befugnisse<br />
der Aufsichtsbehörden erheblich verschärft<br />
worden.<br />
Ab sofort kann die Aufsichtsbehörde<br />
zur Gewährleistung dieses Gesetzes und<br />
anderer Vorschriften über den <strong>Daten</strong>schutz<br />
Maßnahmen zur Beseitigung festgestellter<br />
Verstöße bei der Erhebung, Verarbeitung<br />
oder Nutzung personenbezogener oder<br />
technischer oder organisatorischer Mängel<br />
anordnen. Bei schweren Verstößen mit<br />
besonderen Gefährdungen des Persönlichkeitsrechts<br />
oder bei Nichtbefolgen von<br />
Anordnungen kann die Aufsichtsbehörde<br />
einzelne Verfahren oder die Erhebung, Verarbeitung<br />
und Nutzung personenbezogener<br />
<strong>Daten</strong> untersagen.<br />
Frischer Wind für Arbeitnehmerdatenschutz<br />
Für die Verarbeitung personenbezogener<br />
<strong>Daten</strong> der Beschäftigten in Unternehmen<br />
ist also § 32 BDSG der wesentliche Zulässigkeitstatbestand.<br />
Er ersetzt den § 28 Abs. 1<br />
Nr. 1 BDSG als Rechtsgrundlage für die<br />
rechtmäßige Erhebung, Verarbeitung und<br />
Nutzung der <strong>Daten</strong> von Beschäftigten. Der<br />
neue § 28 Abs. 1 Nr. 1 BDSG findet für den<br />
Beschäftigtendatenschutz keine Anwendung<br />
mehr, § 28 Abs. 1 Nr. 2 BDSG bleibt als<br />
Rechtfertigung für die Verarbeitung von<br />
Beschäftigtendaten. § 32 erfasst jetzt alle<br />
Personen, die in einem Beschäftigungsverhältnis<br />
stehen. 6<br />
§ 32 Satz 1 BDSG legt zudem fest, dass<br />
bezogen auf alle Phasen eines Beschäftigungsverhältnisses<br />
bei der Erhebung,<br />
Verarbeitung und Nutzung von Beschäftigtendaten<br />
deren Erforderlichkeit und<br />
Zweckbindung zwingend sind.<br />
Welche <strong>Daten</strong> der Arbeitgeber im Einzelnen<br />
konkret erheben, verarbeiten oder nutzen<br />
darf, kann auch § 32 BDSG nicht entnommen<br />
werden. Im Einzelfall muss nach wie<br />
vor die Verhältnismäßigkeit geprüft werden,<br />
also eine Abwägung zwischen den objektiven<br />
Informationsinteressen des Arbeitge-<br />
bers mit dem Anspruch der Beschäftigten<br />
auf Persönlichkeitsschutz erfolgen.<br />
Kontrolle von <strong>Daten</strong> zur<br />
Aufdeckung von Straftaten?<br />
§ 32 Abs. 1 Satz 2 BDSG stellt zudem Anforderungen<br />
an den <strong>Daten</strong>schutz, wenn im<br />
Beschäftigungsverhältnis Straftaten wie<br />
Diebstahl oder Korruption aufgedeckt werden<br />
sollen. Dabei dürfen personenbezogene<br />
<strong>Daten</strong> der Betroffenen nur ausnahmsweise<br />
erhoben, verarbeitet oder genutzt<br />
werden, wenn ein konkreter Verdacht vorliegt<br />
und die <strong>Daten</strong> zur Aufdeckung der<br />
Straftat erforderlich sind. Der Arbeitgeber<br />
hat die Anhaltspunkte für den Verdacht<br />
schriftlich zu dokumentieren. Gleichzeitig<br />
muss geprüft werden, ob der Verwendung<br />
der <strong>Daten</strong> überwiegende schutzwürdige<br />
Interessen der Betroffenen entgegenstehen<br />
und ob Art und Ausmaß der Erhebung,<br />
Verarbeitung und Nutzung der <strong>Daten</strong> im<br />
Hinblick auf den Anlass der Kontrolle noch<br />
verhältnismäßig ist. Es muss ein tatsächlich<br />
begründeter Verdacht da sein. Hier wird<br />
bereits deutlich: § 32 Abs. 1 Satz 2 BDSG<br />
kann nicht oder nur in geringem Maße für<br />
die Prävention von Straftaten oder Korruption<br />
als Rechtfertigung benutzt werden. 7 In<br />
§ 32 Abs. 3 BDSG wird bestätigt, dass Mitbestimmungsrechte<br />
unberührt bleiben.<br />
Kassensysteme für Kontrollen und<br />
Betrugsrecherche nutzen?<br />
Was bedeuten die neuen BDSG-Vorschriften<br />
nun für IT-Regelungen in der Praxis für den<br />
Betriebsrat? Dies wird am Beispiel der Registrierkassen,<br />
die im Handel personenbezogene<br />
<strong>Daten</strong> der Beschäftigten zur Aufdeckung<br />
von Straftaten unbegrenzt sammeln,<br />
dargestellt.<br />
Bei der Gestaltung von Betriebsvereinbarungen,<br />
nicht nur zu Kassensystemen,<br />
sollten die Betriebsräte die folgenden drei<br />
Prüfungsschritte vornehmen:<br />
Für die Gestaltung von IT-gestützten<br />
Kassensystemen muss in einem ersten<br />
Schritt überprüft werden, ob sämtliche<br />
vom Arbeitgeber gewünschten <strong>Daten</strong> der<br />
Beschäftigten samt Auswertungen 8 für die<br />
Begründung, Durchführung oder Beendigung<br />
eines Beschäftigungsverhältnisses<br />
tatsächlich erforderlich sind. Eine Vollerhebung<br />
aller personenbezogenen <strong>Daten</strong><br />
an der Kasse für den Zweck der kontinuierlichen<br />
Betrugsrecherche ist nach § 32<br />
Abs. 1 Satz 1 BDSG offensichtlich nicht erforderlich,<br />
verletzt das <strong>Daten</strong>schutzprinzip der<br />
Transparenz 9 und ist zudem nicht verhältnismäßig.<br />
10 Eine Vollerfassung und -überwachung<br />
von personenbezogenen Kassendaten<br />
ist allerdings schon nach dem alten<br />
§ 28 Abs. 1 Nr. 1 BDSG eindeutig unzulässig<br />
und eine Verletzung des informationellen<br />
Selbstbestimmungsrechts der Beschäftigten<br />
gewesen.<br />
In einem zweiten Schritt müssen die<br />
Zweckbestimmung der personenbezogenen<br />
<strong>Daten</strong> festgelegt und grundsätzlich<br />
Leistungs- und Verhaltenskontrollen ausgeschlossen<br />
werden.<br />
Am Beispiel der Kassensysteme im Handel<br />
ist in einem dritten Schritt zu prüfen, ob<br />
alle von der Technik her möglichen <strong>Daten</strong><br />
an den Kassen vom Arbeitgeber zur Aufdeckung<br />
von Inventurdifferenzen, Betrug<br />
und Unterschlagung rechtmäßig erhoben<br />
werden dürfen. Hierfür kann der § 32<br />
Abs. 1 Satz 2 BDSG als Erlaubnistatbestand<br />
in Frage kommen.<br />
Kontrolle/<strong>Daten</strong>haltung<br />
mit Kassensystemen?<br />
Schon allein die Erhebung aber auch die<br />
Verarbeitung und Nutzung derartiger<br />
<strong>Daten</strong> sind nach § 32 Satz 2 BDSG nur dann<br />
im Beschäftigungsverhältnis zulässig, wenn<br />
zu dokumentierende tatsächliche Anhaltspunkte<br />
den konkreten Verdacht begründen,<br />
dass der Betroffene bei der Arbeit eine<br />
Straftat begangen hat. Weiterhin wäre noch<br />
abzuwägen, ob die Erhebung, Verarbeitung<br />
und Nutzung von <strong>Daten</strong> zur Aufdeckung<br />
von Straftaten erforderlich ist, diese <strong>Daten</strong>verarbeitung<br />
noch verhältnismäßig im Hinblick<br />
auf den Anlass der Kontrolle ist und ob<br />
überwiegende schutzwürdige Interessen<br />
des Betroffenen gegeben sind. 11<br />
Die Prüfung ergibt: Präventiv dürfen<br />
nicht alle Beschäftigten an den Kassen mit<br />
dem Kassensystem jederzeit überwacht<br />
werden, da sie keinen Anlass für eine Vollkontrolle<br />
gegeben haben und diese zudem<br />
unverhältnismäßig wäre. Eine Vollkontrolle<br />
heißt: Alle Beschäftigten an der Kasse bleiben<br />
durch die Überwachungsmaßnahme<br />
nicht anonym, alle Aktivitäten am Kassenarbeitsplatz<br />
wie z. B. die eingescannten<br />
71
Artikel pro Minute oder auch Stornos werden<br />
erfasst und alle überwachten Personen<br />
müssen immer mit arbeitsrechtlichen Maßnahmen<br />
wie z. B. Personalgesprächen mit<br />
der Kassenaufsicht, Versetzungen oder<br />
Herabgruppierungen rechnen. Diese sind<br />
gelebte Praxis in vielen Einzelhandelsunternehmen.<br />
Der Einsatz mancher Kassensysteme<br />
führt zur Erstellung von Persönlichkeitsprofilen<br />
und das ist nach BDSG<br />
und Grundgesetz nicht zulässig. 12 Es dürfen<br />
keine allwissenden <strong>Daten</strong>herren entstehen.<br />
13 Hier liegt immer ein Verstoß gegen<br />
§ 75 Abs. 2 BetrVG vor, weil eine freie Entfaltung<br />
der Persönlichkeit im Unternehmen<br />
nicht mehr möglich ist.<br />
Eine Vorratsdatenhaltung von Kassendaten<br />
ist schon deshalb unzulässig, weil es<br />
an der Festlegung des Zwecks gemäß § 28<br />
Abs. 1 Satz 2 BDSG fehlt. Zweckänderungen<br />
lassen sich nur bei Einsatz von konkreten<br />
Mitteln der Anonymisierung und Pseudonymisierung<br />
rechtfertigen.<br />
Eine Verknüpfung von Kassendaten, die<br />
den Personalkauf erfassen, mit anderen personenbezogenen<br />
<strong>Daten</strong> der Beschäftigten<br />
an der Kasse, ist ebenfalls nicht zulässig.<br />
Prüfung der Verhältnismäßigkeit<br />
In analoger Anwendung der klaren Rechtsprechung<br />
des Bundesarbeitsgerichts<br />
(BAG) zur Videoüberwachung wird ebenfalls<br />
deutlich, dass eine dauerhafte Vollerfassung<br />
und Auswertung von Leistung und<br />
Verhalten der Beschäftigten an Kassen und<br />
der Einsatz verdeckter technischer Kontrolleinrichtungen<br />
<strong>ohne</strong> einen konkreten<br />
Anlass mit dem Persönlichkeitsschutz der<br />
Beschäftigten unvereinbar ist. Das BAG<br />
nimmt in seinem Beschluss vom 26. 8. 2008<br />
ausgehend von Vorgaben des Bundesverfassungsgerichts<br />
eine umfassende Verhältnismäßigkeitsprüfung<br />
vor, die auf den Einsatz<br />
von Kassensystemen zu übertragen ist.<br />
Geheime Kontrollen sind grundsätzlich verboten<br />
und nur unter äußerst restriktiven<br />
Gesichtspunkten zulässig, wenn alle anderen<br />
Möglichkeiten ausscheiden. 14<br />
Vor einer Vollerfassung von personenbezogenen<br />
<strong>Daten</strong> der Beschäftigten an den<br />
Kassen wäre also immer noch zu überprüfen,<br />
ob nicht andere nichttechnische geeignete<br />
Mittel eingesetzt werden können<br />
um Kassenfehlbedienungen, Kassendiffe-<br />
72<br />
TECHNIK + MITBESTIMMUNG<br />
DIE PSEUDONYMISIERUNG AM BEISPIEL EINES KASSENSYSTEMS<br />
Pseudonym (griechisch: „fälschlich so genannt“). Das Pseudonym ist ein fingierter Name,<br />
den besonders Künstler oder Schriftsteller aus unterschiedlichen Gründen verwenden.<br />
In Bezug auf Kassendaten bedeutet Pseudonymisierung, dass es keinen direkten Personenbezug<br />
mehr gibt.<br />
Dafür erfolgt in der sogenannten Black-Box (Pseudonymisierungsserver) automatisiert<br />
eine Veränderung personenbezogener <strong>Daten</strong> (z.B. der Personalnummer) aufgrund<br />
einer Zuordnungsvorschrift (Algorithmus):<br />
12,92<br />
Check-Out-<br />
Kassen<br />
12,92<br />
Revision mit<br />
Auswertungstool<br />
pseudonymisierte Kassendaten<br />
pseudonymisierte<br />
Kassendaten<br />
Kassencontroller<br />
Kassen-<br />
auswertung<br />
Name des<br />
Mitarbeiters<br />
Pseudonymiserungsserver<br />
� Die Zuordnungsvorschrift und ihre Anwendung kann nur von drei Personen eingerichtet<br />
oder geändert werden.<br />
� Der Name und das dazugehörige Pseudonym werden nirgendwo gespeichert.<br />
� Die Umwandlung des Pseudonyms in den Namen des Kassenbedieners erfolgt nur<br />
bei konkretem Betrugsverdacht.<br />
� Der Betriebsrat und der Hausleiter verfügen über jeweils eigene Passwörter um von<br />
der Filiale auf den Pseudonymisierungsserver in der Zentrale zugreifen zu können.<br />
� Ergibt die Auswertung der (pseudonymisierten) Kassendaten, dass bei einem Benutzer<br />
auffällig viele Ereignisse (z.B. Stornos, Retoure, hohe Leergutauszahlung) auftreten,<br />
wird dies anhand von Unterlagen (Auswertungen der Kassenprotokolle) dokumentiert<br />
und der Betriebsrat darüber informiert. Der Hausleiter bzw. die Revision müssen weitere<br />
Verdachtspunkte mitteilen.<br />
� Stimmt der Betriebsrat einer De-Pseudonymisierung zu, wird am Rechner (Kassencontroller)<br />
in der Filiale durch Eingabe der jeweiligen Passwörter durch den Filialleiter<br />
und den Betriebsrat mit dem Server (Black-Box) im Rechenzentrum eine Verbindung<br />
aufgebaut. Gemeinsam (Vier-Augen-Prinzip) wird das Pseudonym eingegeben, der Mitarbeitername<br />
wird aufgedeckt.<br />
� Dem Mitarbeiter ist unmittelbar nach Feststellung, dass tatsächliche Anhaltspunkte<br />
auf einen Missbrauch vorliegen, darüber zu informieren, dass sein Pseudonym gelüftet<br />
wurde. Konnte der Betrugsverdacht ausgeräumt werden, wird für den Mitarbeiter ein<br />
neues Pseudonym generiert.<br />
� Nach jeder De-Pseudonymisierung wird vom System automatisch ein fortlaufend<br />
nummeriertes Protokoll generiert, das dem zuständigen Betriebsrat unverzüglich übergeben<br />
wird um zu überprüfen, dass keine Aufdeckungen <strong>ohne</strong> Betriebsrat stattgefunden<br />
haben (z.B. durch „unbeabsichtigte“ Kenntnis des Betriebsrats-Passworts).<br />
� Stimmt der Betriebsrat der De-Pseudonymiserung nicht zu, findet keine Aufdeckung<br />
des Pseudonyms statt.
TECHNIK + MITBESTIMMUNG<br />
renzen und Kassenmanipulationen vorzubeugen.<br />
Das Mittel mit der geringsten Eingriffstiefe<br />
in das Persönlichkeitsrecht der<br />
Beschäftigten ist zu wählen. Hier bietet sich<br />
z. B. ein täglicher Kassensturz vor und nach<br />
der Kassentätigkeit an.<br />
Ebenso scheidet für Handelsunternehmen<br />
eine gezielte Rasterfahndung nach<br />
bestimmten Kriterien aus, da in der Regel<br />
keine tatsächlich zu dokumentierenden<br />
Anhaltspunkte für eine Straftat vorhanden<br />
sind. Umfassende Bondatenanalyse zur<br />
Betrugsrecherche mit Programmen wie z. B.<br />
LossPrevention oder komplexe Data Mining-<br />
Verfahren 15 lassen sich mit den neuen Vorschriften<br />
des BDSG nicht rechtfertigen, weil<br />
nach § 28 Abs. 1 Nr. 2 BDSG schutzwürdige<br />
Interessen der Beschäftigten an der Kasse<br />
überwiegen.<br />
Auch im Falle von Kassensystemen sind<br />
allenfalls stichprobenartige Kontrollen <strong>ohne</strong><br />
Personenbezug eine geeignete Maßnahme<br />
zur Prävention von Kassenbetrug und<br />
Unterschlagung. Ergeben sich nach anonymisierten<br />
<strong>Daten</strong>erhebungen dann tatsächliche<br />
zu dokumentierende Anhaltspunkte<br />
für einen „begründeten Verdacht“ auf eine<br />
schwere Straftat, sind vertiefende Kontrollen<br />
unter Einhaltung der Mitbestimmung<br />
des Betriebsrats und unter Hinzuziehung<br />
des <strong>Daten</strong>schutzbeauftragten möglich. Ein<br />
Verdacht auf einen Verstoß gegen betriebliche<br />
Anweisungen reicht nicht aus. 16<br />
Was bleibt<br />
den Unternehmen?<br />
Die Verpflichtung in § 3 a BDSG, <strong>Daten</strong>vermeidung<br />
und -sparsamkeit durch Anonymisierung<br />
und Pseudonymisierung zu erreichen,<br />
zeigt nicht nur den Unternehmen im<br />
Handel einen gangbaren Weg auf. Sie müssen<br />
sich um die Art von Technik bemühen,<br />
die keine oder so wenig <strong>Daten</strong> mit Personenbezug<br />
wie möglich erhebt, verarbeitet<br />
oder nutzt. Es ist technisch in Kassensystemen<br />
<strong>ohne</strong> Probleme machbar, den Namen<br />
oder die Personalnummer wegzulassen<br />
und Auswertungen der Kassenjournals faktisch<br />
so zu anonymisieren, dass eine Zuordnung<br />
der <strong>Daten</strong> zu Beschäftigten in der Filiale<br />
nicht mehr möglich ist. Dann entfallen<br />
die Vorschriften des BDSG. Hierbei muss<br />
aber von Betriebsräten zusätzlich überprüft<br />
werden, ob ggf. weitere personenbeziehbare<br />
<strong>Daten</strong> im Betrieb vorhanden sind, die<br />
die gewünschte Anonymisierung wieder<br />
aufheben würde. In dem Fall ist in einem<br />
zweiten Schritt das Mittel der Pseudonymisierung<br />
zu benutzen.<br />
Pseudonymisierung ein Weg für<br />
präventive Maßnahmen<br />
Für den Zweck der Betrugsrecherche bietet<br />
sich zusätzlich noch der Weg an, hierfür<br />
erforderliche personenbezogene <strong>Daten</strong> an<br />
den Kassen zu erheben aber anschließend<br />
den Personenbezug durch Pseudonymisierung<br />
zu ersetzen.<br />
Pseudonymisierung bedeutet, den Personenbezug<br />
im Kassenjournal durch ein<br />
Kennzeichen oder Alias zu ersetzen und<br />
damit die personenbezogenen <strong>Daten</strong> der<br />
Beschäftigten zu pseudonymisieren. Die<br />
Zuordnung von pseudonymisierten Benutzerkennzeichen<br />
und Namensliste z. B. bei<br />
Kassiererinnen erfolgt auf einer gesondert<br />
einzurichtenden Liste. Diese kann im Safe<br />
eines Treuhänders verwahrt bleiben und<br />
Einrichtung, Pflege und Zugriff auf die Pseudonyme<br />
nur nach dem Vier- oder Sechs-<br />
Augen-Prinzip gewährt werden. Wenn tatsächliche<br />
Anhaltspunkte für Betrug und<br />
Unterschlagung am Kassenarbeitsplatz vorliegen,<br />
die dokumentiert worden sind, kann<br />
in die Liste geschaut werden, wer tatsächlich<br />
an der Kasse zum betreffenden Zeitpunkt<br />
gesessen hat. Anschließend hat sofort eine<br />
Unterrichtung des Betroffenen zu erfolgen<br />
und ihm ist eine Gelegenheit zur Stellungnahme<br />
zu geben. Wird der Verdacht ausgeräumt,<br />
müssen unverzüglich alle personenbezogenen<br />
Kassendaten gelöscht werden.<br />
Das novellierte BDSG zwingt also die<br />
Unternehmen viel stärker als bisher die vorhandenen<br />
technischen Möglichkeiten zur<br />
Anonymisierung und Pseudonymisierung<br />
zu nutzen. Gute Erfahrungen mit Pseudonymisierung<br />
sind vor allem im öffentlichen<br />
Dienst oder mit medizinischen Patientenakten<br />
gemacht worden. Der Aufwand für<br />
eine vorzunehmende Pseudonymisierung<br />
auch in Handelsunternehmen wird von<br />
Arbeitgebern überschätzt und ist keinesfalls<br />
unverhältnismäßig. Wenn zur Aufdeckung<br />
von Straftaten noch personenbezogene<br />
Kassendaten präventiv erhoben und<br />
nur im Falle von tatsächlichen Anhaltspunk-<br />
ten verarbeitet und genutzt werden sollen,<br />
brauchen Unternehmen jetzt auf jeden Fall<br />
das konkrete Mittel der Pseudonymisierung,<br />
das konkret aber nur über eine Betriebsvereinbarung<br />
als Erlaubnisvorschrift 17 zu verwirklichen<br />
ist. Ansonsten bleibt den Unternehmen<br />
für die Prävention nur das Mittel<br />
der anonymisierten stichprobenartigen<br />
Kontrollen.<br />
Mitbestimmung und<br />
Betriebsvereinbarung<br />
Interessenvertretungen können die neuen<br />
Vorschriften zum Beschäftigtendatenschutz<br />
nutzen und durch den Abschluss<br />
von Betriebsvereinbarungen mehr als bisher<br />
dazu beitragen, dass <strong>Daten</strong>vermeidung<br />
und -sparsamkeit die neue Leitmaxime<br />
der Unternehmen wird. Sie können<br />
nach § 87 Abs. 1 Nr. 6 BetrVG den Abschluss<br />
einer Betriebsvereinbarung z. B. zu Kassensystemen<br />
oder anderen technischen Kontrolleinrichtungen<br />
zur Mitarbeiterüberwachung<br />
erzwingen. 18 Betriebsräte können<br />
zudem bei IT-Systemen, die im Unternehmen<br />
zwar eingeführt aber bislang nicht<br />
geregelt sind, ebenfalls Betriebsvereinbarungen<br />
durchsetzen.<br />
Eine Betriebsvereinbarung ist eine<br />
Rechtsvorschrift gemäß § 4 Abs. 1 BDSG<br />
und im unklaren Feld des Beschäftigtendatenschutzes<br />
den Unternehmen zur Erfüllung<br />
der datenschutzrechtlichen Anforderungen<br />
dringend zu empfehlen. Die<br />
Betriebsparteien können allerdings den<br />
Standard des neuen BDSG nicht unterschreiten,<br />
auch wenn sich dies Arbeitgeber<br />
jetzt verstärkt wünschen. Eine Schlechterstellung<br />
in der Betriebsvereinbarung<br />
gegenüber den Regelungen des neuen<br />
BDSG wäre ein eindeutiger Verstoß gegen<br />
das Persönlichkeitsrecht der Betroffenen<br />
und liegt nicht in der Regelungsbefugnis<br />
der Betriebsparteien. Das BDSG ist nicht<br />
abdingbar. 19<br />
Kommen Arbeitgeber den berechtigten<br />
Wünschen nach Anonymisierung<br />
und Pseudonymisierung nicht nach, kann<br />
der Betriebsrat die Verhandlungen für<br />
gescheitert erklären und für den Abschluss<br />
einer Betriebsvereinbarung die Einigungsstelle<br />
gemäß § 76 BetrVG einrichten lassen.<br />
Voraussetzung für eine rechtsverträgliche<br />
73
Betriebsvereinbarung ist allerdings die umfassende Information<br />
durch den Arbeitgeber über die technischen Möglichkeiten der<br />
<strong>Daten</strong>verarbeitungssysteme.<br />
Fazit<br />
Betriebsräte haben nach § 80 Abs. 1 Nr. 1 BetrVG das Recht, die Einhaltung<br />
der zugunsten der Arbeitnehmer geltenden Gesetze und<br />
damit auch des BDSG zu überwachen und Informationen nach § 80<br />
Abs. 2 BetrVG vom Arbeitgeber anzufordern, wie z. B. § 3 a und § 32<br />
BDSG für <strong>Daten</strong>erhebungen, -verwendungen und –nutzungen<br />
umgesetzt werden sollen. Sie haben es in der Hand, die Arbeitgeber<br />
zu einer rechtskonformen Ausgestaltung ihrer <strong>Daten</strong>verarbeitungssysteme<br />
zu zwingen. Sie sollten ihre Arbeitgeber an die<br />
<strong>Daten</strong>schutzskandale der letzten Jahre erinnern und verdeutlichen,<br />
wie schnell <strong>Daten</strong>schutzskandale und -pannen einen Imageverlust<br />
der Unternehmen bewirken. Pseudonymisierung ist ein gangbarer<br />
und günstiger Weg um das informationelle Selbstbestimmungsrecht<br />
der Beschäftigten und berechtigte Interessen der Unternehmen,<br />
z. B. im Einzelhandel, in Einklang zu bringen. Notfalls können<br />
Betriebsräte Aufsichtsbehörden einschalten, die jetzt andere und<br />
bessere Sanktionsmittel haben. Die Aufsichtsbehörden sollten personell<br />
besser ausgestattet werden, damit sie die Umsetzung von<br />
BDSG-Vorschriften wie z. B. <strong>Daten</strong>vermeidung und -sparsamkeit<br />
tatsächlich kontrollieren können.<br />
Autoren<br />
Matthias Wilke, <strong>Daten</strong>schutz- und Technologieberatung (dtb), Kassel,<br />
info@dtb-kassel.de; Dr. Eberhard Kiesche, Arbeitnehmerorientierte Beratung<br />
(AoB), Bremen, eberhard.kiesche@t-online.de<br />
Fußnoten<br />
1 Vom September 2007 und 22.10. 2008<br />
2 Vgl. § 11 Abs. 1 Nr. 2 Entwurf <strong>Daten</strong>schutzauditgesetz<br />
3 Vgl. § 3 Abs. 6 BDSG<br />
4 Vgl. § 6 a BDSG<br />
5 Vgl. Thüsing: <strong>Daten</strong>schutz im Arbeitsverhältnis, in: NZA 2009, 865 [866]<br />
6 § 3 Abs. 11 BDSG<br />
7 Vgl. Thüsing, a.a.O. 686<br />
8 Beispiele: Artikel- und Warengruppendaten, Marktabrechnungsdaten, Aktionsmengencontrolling,<br />
Personalrabatteinkäufe und EC-Transaktionen<br />
9 Anhang zur Bildschirmarbeitverordnung Nr. 20: Keine geheimen Kontrollen<br />
zulässig. In Einzelhandelsunternehmen werden die Beschäftigten über Kontrollmöglichkeiten<br />
der Kassensysteme faktisch in der Regel nicht unterrichtet<br />
10 BAG, Beschluss vom 26. 8. 2008, Az.: 1 ABR 16/07, Rn. 17 und insbes. Rn. 26<br />
11 Vgl. auch die Vorschrift in § 100 Abs. 3 Telekommunikationsgesetz (TKG)<br />
12 Däubler: Ein Gesetz über den Arbeitnehmerdatenschutz, in: RDV 1999, 244 [248]<br />
13 Däubler, in: Däubler/Klebe/Wedde/Weichert, Kommentar zum BDSG, 3. Aufl. im<br />
Erscheinen, § 32, Rn. 69<br />
14 BAG, Beschluss vom 27. 3. 2003, NZA 2003, 1193 und BAG, Beschluss vom<br />
26. 8. 2008, Az.: 1 ABR 16/07, NZA 2008, 1187, Rn. 21<br />
15 Wilke: Data Mining – Rasterfahndung im Betrieb, in: AiB 2006, 155 ff.<br />
16 Der Bundesverband Deutscher Arbeitgeberverbände (BDA) läuft Sturm gegen<br />
§ 32 Satz 2 BDSG und will den gesamten § 32 BDSG wieder abschaffen lassen<br />
17 § 4 Abs. 1 BDSG<br />
18 Vgl. Grobys/Steinau-Steinrück, NJW-Spezial 12/2008, 403<br />
19 Trittin/Fischer: <strong>Daten</strong>schutz und Mitbestimmung, in: NZA 2009, 343 [345]<br />
74<br />
TECHNIK + MITBESTIMMUNG<br />
BEISPIEL EINER BETRIEBSVEREINBARUNG<br />
Zwischen der Geschäftsführung der Firma XYZ GmbH,<br />
und dem Betriebsrat der Firma XYZ GmbH,<br />
wird eine Betriebsvereinbarung über die Einführung, Anwendung<br />
und Weiterentwicklung des Kassensystems XXX und des Auswertungstools<br />
YYY vereinbart.<br />
§ 1 – Zielsetzungen<br />
Absicht dieser Betriebsvereinbarung ist sicherzustellen, dass<br />
� eine effiziente Nutzung des Kassensystems XXX und des Auswertungssystems<br />
YYY zur Unterstützung der Ziele des Unternehmens<br />
gewährleistet ist,<br />
� die Mitarbeiterinnen und Mitarbeiter1 vor unzulässiger und<br />
unnötiger Nutzung der über sie erfassten und gespeicherten<br />
<strong>Daten</strong> geschützt werden und<br />
� das informationelle Selbstbestimmungsrecht der Mitarbeiterinnen<br />
und Mitarbeiter gewahrt wird.<br />
§ 2 – Zweckbindung<br />
Die Anwendung des Kassensystems XXX und des Auswertungstools<br />
YYY dient folgenden Zwecken:<br />
� Organisation des reibungslosen betriebswirtschaftlichen<br />
Ablaufs:<br />
– Umsatzerfassung von Artikel- und Warengruppendaten,<br />
– Marktabrechnungsdaten,<br />
– Aktionsmengencontrolling;<br />
� Management von Personalrabatteinkäufen und EC-Transaktionen;<br />
� Unterstützung des Qualitätsmanagements;<br />
� <strong>Schutz</strong> der Firma XYZ GmbH vor Vermögensverlusten;<br />
� Identifizierung von Schwachstellen in Hard- und Software;<br />
� Aufdeckung von Schwachstellen organisatorischer Art;<br />
� Aufdeckung von Inventurdifferenzen aufgrund von<br />
unabsichtlichen Kassenfehlbedienungen und<br />
� Betrugsrecherche und Nachweis von Unterschlagungen.<br />
§ 3 – Gegenstand, Geltungsbereich und Grundsätze<br />
Diese Betriebsvereinbarung gilt für die Einführung, den Einsatz,<br />
die Anwendung, Änderung, Erweiterung und Weiterentwicklung<br />
des Kassensystems XXX und des Auswertungstools YYY.<br />
Die Betriebsvereinbarung gilt für alle Beschäftigten der Firma<br />
XYZ GmbH einschließlich der Aushilfen und der beschäftigten<br />
Leiharbeitnehmer.<br />
Eine Verknüpfung der Kassensystem-<strong>Daten</strong> der Beschäftigten<br />
zum Zweck der Erstellung von Persönlichkeitsprofilen ist nicht<br />
zulässig.<br />
1 Im Folgenden wird aufgrund der besseren Lesbarkeit auf die weibliche Form<br />
verzichtet. Die Formulierung „Arbeitnehmer, Beschäftigter oder Mitarbeiter“<br />
schließt jeweils die weibliche Form mit ein.
TECHNIK + MITBESTIMMUNG<br />
§ 4 – Systemdokumentation<br />
Das eingesetzte Kassensystem XXX, das Auswertungstool YYY<br />
und die Vernetzung werden abschließend in Anlage ## dokumentiert.<br />
Hierzu gehören die Hardware, die Hardwarekonfiguration,<br />
der <strong>Daten</strong>flussplan und die eingesetzten Programme. In Anlage ##<br />
wird die eingesetzte Software abschließend dokumentiert.<br />
Berichte und Auswertungen des Kassensystems XXX und des Auswertungstools<br />
YYY werden in Anlage ## samt Empfängerkreis und<br />
Löschfristen vereinbart und festgeschrieben.<br />
Die Anlagen sind Bestandteil dieser Betriebsvereinbarung.<br />
§ 5 – Leistungs- und Verhaltenskontrollen<br />
Die Erhebung, Verarbeitung, Nutzung, Speicherung oder Veränderung<br />
des Kassensystems XXX und des Auswertungstools YYY zu<br />
Leistungs- und Verhaltenskontrollen ist unzulässig.<br />
Fehler und Mängel bei der Benutzung der Kassen bzw. bei der<br />
Leis tungserbringung der Kassenbediener, die in den Qualitätsmanagement-Berichtsdaten<br />
offenkundig werden, dürfen nicht personenbezogen<br />
oder –beziehbar verarbeitet oder genutzt werden.<br />
Schulungsmaßnahmen aufgrund von festgestellten Qualitätsmängeln<br />
sind ausschließlich für die jeweilige Filiale insgesamt<br />
durchzuführen.<br />
Fehlbedienungsauswertungen sind nur dann zulässig, wenn sie<br />
sich auf eine Grundgesamtheit von mindestens acht Personen<br />
beziehen.<br />
§ 6 – <strong>Daten</strong>vermeidung<br />
Bei der Erhebung von personenbezogenen <strong>Daten</strong> der Beschäftigten<br />
an den Kassen ist § 3a BDSG zu beachten. <strong>Daten</strong>vermeidung<br />
und -sparsamkeit sind für die Anwendung des Kassensystems XXX<br />
und des Auswertungstools YYY durch konkrete Maßnahmen der<br />
Anonymisierung und Pseudonymisierung sichergestellt.<br />
Vor dem Einsatz umfassender Auswertungen, Reports und Statistiken<br />
mit Hilfe des Kassensystems XXX und des Auswertungstools<br />
YYY ist zu prüfen, mit welchen anderen auch nichttechnischen<br />
Mitteln Kassenfehlbedienungen, -differenzen und -manipulationen<br />
vorgebeugt werden können. Es ist ein täglicher Kassensturz<br />
vorher und nachher vorzunehmen. Jährlich ist dem Betriebsrat<br />
eine Bedarfsermittlung vorzulegen, die aufzeigt, welche<br />
Kassen differenzen, -manipulationen und -probleme in der Vergangenheit<br />
aufgetreten sind und ob der Einsatz eines computergestützten<br />
Kassenanalysesystems erforderlich im Sinne des § 32<br />
Abs. 1 Satz 1 und 2 BDSG ist.<br />
Die Kassendaten sind grundsätzlich so zu anonymisieren, dass<br />
eine faktische Zuordnung der erfassten <strong>Daten</strong> zu Personen in der<br />
Filiale nicht mehr möglich ist.<br />
Wird nachgewiesen, dass eine Zuordnung zu Benutzern in der Filiale<br />
möglich sein muss, ist eine Pseudonymisierung vorzunehmen.<br />
§ 7 – Pseudonymisierung<br />
Jeder Benutzer des Kassensystems XXX erhält zur Anmeldung und<br />
Berechtigungsprüfung am System eine Codekarte mit einer pseudonymisierten<br />
Benutzerkennung.<br />
Die Codekarte mit der pseudonymisierten Benutzerkennung wird<br />
zentral erstellt. Die Zuordnungsregel zur Generierung des Pseudonyms<br />
erfolgt mit einer eigenen Hardwarekomponente mit zugehöriger<br />
Software als Black-Box-Lösung (Pseudonymisierungsserver),<br />
die in der Anlage ## beschrieben ist.<br />
Die Einrichtung, die Pflege und der Zugriff auf die Zuordnungsregel<br />
zur Generierung der Benutzerkennung geschieht nach dem<br />
Sechs-Augen-Prinzip. Berechtigt sind dazu gemeinsam der <strong>Daten</strong>schutzbeauftragte,<br />
der System-Administrator und der Betriebsrat.<br />
Die Benutzerkennung und der Name sind im System nicht hinterlegt<br />
und fest zugeordnet.<br />
§ 8 – De-Pseudonymisierung<br />
Die Aufhebung der Pseudonymisierung (De-Pseudonymisierung)<br />
wird nur zur Aufklärung strafbarer Handlungen und zur Unterstützung<br />
hierfür gerechtfertigter betriebsinterner Ermittlungen vorgenommen.<br />
Grundlage hierfür sind folgende Anlässe:<br />
� Dringender, begründeter und dokumentierter Verdacht auf<br />
Betrug oder Unterschlagung am Kassenarbeitsplatz und<br />
� Hinweise Dritter zu Unregelmäßigkeiten, die den Verdacht auf<br />
strafbare Handlungen am Kassenarbeitsplatz rechtfertigen.<br />
Anhaltspunkte und Hinweise sind zu dokumentieren.<br />
Der Hausleiter oder sein Vertreter teilt dem zuständigen Betriebsrat<br />
unter Verpflichtung zur Verschwiegenheit anhand von Unterlagen<br />
die Gründe für die De-Pseudonymisierung mit.<br />
Erhebt der Betriebsrat gegen die De-Pseudonymisierung nach<br />
Abwägung aller Vorgaben in § 32 Abs. 1 Satz 2 BDSG keine Einwände,<br />
kommt es zur kontrollierten Offenlegung und Freigabe<br />
der Identität des Mitarbeiters am Kassenarbeitsplatz.<br />
Die Aufhebung des Pseudonyms erfolgt nach dem Vier-Augen-<br />
Prinzip. Das Verfahren ist in Anlage ## festgeschrieben.<br />
Sobald der Personenbezug hergestellt ist und der Name des<br />
Beschäftigten vorliegt, muss bei Speicherung, Verarbeitung<br />
und Nutzung dieser personenbezogenen <strong>Daten</strong> der betroffene<br />
Beschäftigte unverzüglich benachrichtigt werden. Ihm ist das<br />
Recht auf eine Stellungnahme einzuräumen. Er kann auf Wunsch<br />
ein Mitglied des Betriebsrats hinzuziehen.<br />
Die Speicherung, Nutzung und Verarbeitung der erhobenen Kassendaten<br />
durch die Firma XYZ GmbH ist ausschließlich für eventuelle<br />
Gerichtsverfahren zulässig. Wird der Anfangsverdacht<br />
ausgeräumt, müssen unverzüglich alle diesbezüglichen personenbezogenen<br />
<strong>Daten</strong> der betroffenen Beschäftigten gelöscht werden.<br />
Nach jeder De-Pseudonymisierung wird vom System automatisch<br />
ein fortlaufend nummeriertes Protokoll generiert, das dem<br />
zuständigen Betriebsrat unverzüglich übergeben wird.<br />
§ 9 – <strong>Daten</strong>schutz und Berechtigungskonzept<br />
Das Berechtigungskonzept für die Nutzung des Kassensystems<br />
XXX und des Auswertungstools YYY wird zwischen Geschäftsführung<br />
und Betriebsrat vereinbart und ist als Anlage ## Bestandteil<br />
dieser Betriebsvereinbarung.<br />
75
76<br />
Zugriffe auf die <strong>Daten</strong> und Auswertungen haben nur Mitarbeiter<br />
der Revision/Sicherheitsabteilung und die IT-Systemadministratoren<br />
der Firma XXX GmbH im Rahmen der Auftragsdatenverarbeitung.<br />
Es muss sowohl technisch wie organisatorisch gemäß § 9<br />
BDSG sichergestellt werden, dass ausschließlich die berechtigten<br />
Personen Zugang zu den <strong>Daten</strong> erhalten.<br />
§ 10 – Löschfristen<br />
Die <strong>Daten</strong> des Kassensystems XXX und des Auswertungstools YYY<br />
sind spätestens nach ___ Tagen zu löschen.<br />
§ 11 – Rechte der Beschäftigten<br />
Alle Beschäftigten werden über den Einsatz und die Möglichkeiten<br />
des Kassensystems XXX und des Auswertungstools YYY schriftlich<br />
informiert. Der Erhalt der Information durch den Mitarbeiter ist<br />
schriftlich zu dokumentieren. Die Information erfolgt in verständlicher<br />
Weise über alle wesentlichen Funktionalitäten und Auswirkungen<br />
des Kassensystems und über die bei der Firma XYZ GmbH<br />
vorgenommenen Pseudonymisierungen und Anonymisierungen.<br />
Die Geschäftsführung stellt sicher, dass alle neu eingestellten<br />
Beschäftigten, die an Kassenarbeitsplätzen eingesetzt werden, vor<br />
Beginn ihrer Tätigkeit schriftlich über das Kassensystem XXX und<br />
das Auswertungstool YYY informiert werden. Die Beschäftigten<br />
sind im Rahmen der Unterweisung an den Kassensystemen auch<br />
auf deren Einsatz und die Wirkungsweise zu belehren.<br />
Die Rechte der Beschäftigten auf Benachrichtigung, Auskunft,<br />
Berichtigung, Löschung und Sperrung nach §§ 33 – 35 BDSG bleiben<br />
unberührt.<br />
§ 12 – Beweisverwertungsverbot<br />
Informationen, die unter Verletzung der Bestimmungen dieser<br />
Betriebsvereinbarung gewonnen werden, dürfen nicht verwendet<br />
werden. Auf diesen Informationen basierende arbeitsrechtliche<br />
Maßnahmen sind unwirksam.<br />
Werden Fehler bei der Bedienung der Kasse infolge der De-Pseudonymisierung<br />
personenbezogen oder -beziehbar gemacht, dürfen<br />
die festgestellten Fehler nicht zu Leistungskontrollen und<br />
arbeitsrechtlichen Sanktionen genutzt werden.<br />
§ 13 – Technisch-organisatorische Maßnahmen<br />
des <strong>Daten</strong>schutzes<br />
Die Geschäftsführung der Firma XYZ GmbH gewährleistet, dass<br />
die <strong>Daten</strong> der Beschäftigten umfassend gegen Missbrauch<br />
geschützt werden. Das <strong>Daten</strong>schutzkonzept zum Kassensystem<br />
und dem Auswertungstool gemäß § 9 und Anlage zu § 9 BDSG ist<br />
Bestandteil dieser Betriebsvereinbarung (Anlage ##).<br />
Der betriebliche <strong>Daten</strong>schutzbeauftragte (_____) informiert jährlich<br />
den Betriebsrat über neue Methoden und Erkenntnisse zur<br />
Anonymisierung und Pseudonymisierung.<br />
Alle Benutzeraktivitäten des Kassencontrollers und des Pseudonymisierungsservers<br />
werden protokolliert.<br />
Auf Wunsch werden dem Betriebsrat die Protokolle zur Verfügung<br />
gestellt und erläutert.<br />
TECHNIK + MITBESTIMMUNG<br />
Mitarbeiter der Firma XXX GmbH als Auftragnehmer, IT-Systemadministratoren,<br />
Marktleiter und Mitarbeiter der Revision werden<br />
auf die Einhaltung des <strong>Daten</strong>schutzes gemäß § 5 BDSG verpflichtet.<br />
§ 14 – Mitbestimmung des Betriebsrats<br />
Über Änderungen und Erweiterungen des Kassensystems XXX<br />
und des Auswertungstools YYY wird der Betriebsrat der Firma XYZ<br />
GmbH rechtzeitig und umfassend anhand von Unterlagen nach<br />
§ 80 Abs. 2 BetrVG informiert.<br />
Änderungen und Erweiterungen der Systeme sind mitbestimmungspflichtig.<br />
Hierzu gehören insbesondere Änderungen und<br />
Erweiterungen der Hard- und Software, Ausweitungen des <strong>Daten</strong>katalogs<br />
und der Auswertungen, Änderungen des Zugriffsberechtigungs-<br />
und des <strong>Daten</strong>schutzkonzepts nach § 9 BDSG sowie der<br />
Zweckbestimmung des Systems.<br />
Die Firma XYZ GmbH stellt sicher, dass bei der Auftragsdatenverarbeitung<br />
durch den Auftragnehmer Firma XXX GmbH der Betriebsrat<br />
seine Überwachungsaufgabe gemäß § 80 Abs. 1 Nr. 1 BetrVG<br />
vor Ort beim Auftragnehmer <strong>ohne</strong> Behinderung seiner Betriebsratstätigkeit<br />
wahrnehmen kann. Die Bestimmungen des § 11 BDSG<br />
werden Inhalt des Dienstleistungsvertrags.<br />
Der <strong>Daten</strong>schutzbeauftragte der Firma XYZ GmbH überprüft<br />
regelmäßig die Einhaltung aller <strong>Daten</strong>schutzvorschriften in Bezug<br />
auf die Anwendung der Kassensysteme. Er berichtet zweimal<br />
jährlich dem Betriebsrat. Der <strong>Daten</strong>schutzbeauftragte stellt dem<br />
Betriebsrat die nach § 4 g Abs. 2 BDSG zu führenden Übersichten<br />
und die erforderliche <strong>Daten</strong>schutzzulässigkeitsprüfung des Kassensystems<br />
XXX und des Auswertungstools YYY zur Verfügung.<br />
§ 15 – Meinungsverschiedenheiten<br />
Ergeben sich bei der Anwendung und Auslegung dieser Betriebsvereinbarung<br />
Meinungsverschiedenheiten bzw. Auslegungsstreitigkeiten,<br />
so kann bei Nichteinigung die Einigungsstelle gemäß<br />
§ 76 BetrVG angerufen werden.<br />
§ 16 – Schlussbestimmungen<br />
Diese Betriebsvereinbarung tritt am Tage ihrer Unterzeichnung in<br />
Kraft.<br />
Diese Regelung kann mit einer Frist von vier Monaten von beiden<br />
Seiten frühestens zum __.__.___ gekündigt werden. Einvernehmliche<br />
Änderungen sind jederzeit möglich.<br />
Bis zum Abschluss einer neuen Regelung bleiben alle Bestimmungen<br />
dieser Betriebsvereinbarung in Kraft.<br />
Sollte eine Bestimmung dieser Betriebsvereinbarung unwirksam<br />
sein oder werden, so wird hierdurch die Wirksamkeit der übrigen<br />
Bestimmungen nicht berührt. Die Betriebsparteien verpflichten<br />
sich für einen solchen Fall, eine wirksame Regelung zu treffen, die<br />
dem Zweck der unwirksamen Regelung möglichst nahe kommt.
Die Arbeitsgruppe <strong>Daten</strong>schutz im<br />
DSAG (Deutschsprachige SAP-<br />
Anwendergruppe) hat kürzlich<br />
seinen SAP-<strong>Daten</strong>schutzleitfaden ERP<br />
6.0 vorgestellt. Der Leitfaden soll helfen,<br />
aktuelle rechtliche Anforderungen<br />
im SAP-ERP-System umzusetzen. Die<br />
Autoren sind Mitglieder der Arbeitsgruppe<br />
Revision und langjährig als Berater,<br />
<strong>Daten</strong>schutzbeauftragte sowie<br />
Sachverständige für SAP-Produkte<br />
tätig. Der Leitfaden kann aus dem Internet<br />
kostenlos heruntergeladen und<br />
von Betriebsräten mit seinen Empfehlungen,<br />
Prüfhinweisen sowie Checklisten<br />
als Hilfsmittel bei der Erfüllung<br />
ihrer Überwachungs- und Gestaltungsaufgaben<br />
im Arbeitnehmerdatenschutz<br />
genutzt werden.<br />
Anliegen und Ziele<br />
Die SAP-<strong>Daten</strong>schutzexperten wollen<br />
mit ihrem Leitfaden vor allem Projektleiter,<br />
Unternehmensberater, Betriebsräte<br />
und betriebliche <strong>Daten</strong>schutzbeauftragte<br />
erreichen. Dabei kann der Leitfaden<br />
selbst dann eine Hilfe sein, wenn keine<br />
SAP-Kenntnisse vorhanden sind.<br />
Mit dem Leitfaden sollen praktische<br />
Tipps zur Umsetzung von <strong>Daten</strong>schutzanforderungen<br />
in SAP-Systemen gege-<br />
ben werden – angefangen vom Einführungsprozess<br />
über die Auftragsdatenverarbeitung<br />
bis hin zum konzernweiten<br />
<strong>Daten</strong>austausch. Er berücksichtigt<br />
das Modul HCM, in dem besonders<br />
viele personenbezogene <strong>Daten</strong> der Beschäftigten<br />
verarbeitet werden.<br />
Der Leitfaden verfolgt das Ziel, die in<br />
SAP gespeicherten Mitarbeiterdaten zu<br />
schützen. Seine Empfehlungen haben<br />
keinen Normcharakter und sind daher<br />
nicht rechtsverbindlich. Werden sie<br />
frühzeitig beachtet und umgesetzt,<br />
kann die SAP-Anwendung revisionssicher<br />
und entsprechend des deutschen<br />
sowie europäischen <strong>Daten</strong>schutzrechts<br />
rechtssicher gestaltet werden.<br />
Ein weiteres Ziel des Leitfadens ist<br />
es, in den <strong>Betriebe</strong>n ein Bewusstsein<br />
für die Belange des <strong>Daten</strong>schutzes zu<br />
schaffen.<br />
Nutzen für den <strong>Daten</strong>schutzbeauftragten<br />
Betriebliche <strong>Daten</strong>schutzbeauftragte<br />
erhalten mit dem Leitfaden eine<br />
lückenlose Darstellung ihrer Aufgaben<br />
und der Rechtsgrundlagen nach dem<br />
Bundesdatenschutzgesetz im Falle der<br />
Einführung von SAP ERP. Zusätzlich<br />
werden praktische Tipps für technische,<br />
organisatorische und vertragliche<br />
Regelungen zur Umsetzung des <strong>Daten</strong>schutzes<br />
gegeben.<br />
Nutzen für den Betriebsrat<br />
Betriebsräte können dem Leitfaden für<br />
die Entwicklung von eigenen Kontrollkonzepten<br />
Prüfungshinweise für konkrete<br />
Reports sowie Transaktionen<br />
entnehmen, die unerlässlich für die<br />
Überprüfung der Einhaltung von SAP-<br />
Betriebsvereinbarungen sind (siehe dbr<br />
1/2009, Seite 30).<br />
<strong>Daten</strong>schutz tipps & tricks<br />
Auch für Betriebsräte hilfreich<br />
Der <strong>Daten</strong>schutz-Leitfaden SAP ERP 6.O<br />
Vor kurzem wurde er vorgestellt, der SAP-<strong>Daten</strong>schutzleitfaden ERP 6.0. Matthias Wilke und Dr. Eberhard<br />
Kiesche informieren über die Anliegen und Ziele dieses Leitfadens und zeigen auf, weshalb er auch im<br />
Betriebsratsbüro seinen Platz haben sollte.<br />
Matthias Wilke, dtb Kassel, und Dr. Eberhard Kiesche,<br />
AoB Bremen, beraten und schulen Betriebsräte zu SAP<br />
www.dtb-kassel.de, www.aob-bremen.de<br />
Besonders die konkreten Hinweise und<br />
praktischen Beispiele zu den Aufgaben<br />
des betrieblichen <strong>Daten</strong>schutzbeauftragten<br />
bei der SAP-Einführung können<br />
Betriebsräte nutzen, um mit dem<br />
<strong>Daten</strong>schutzbeauftragten über seine<br />
Aufgaben, Ergebnisse und Vorgehensweisen<br />
ins Gespräch zu kommen. Die<br />
Ausführungen über Verfahrensverzeichnisse,<br />
Vorabkontrollen, Löschfristen,<br />
Zulässigkeitsprüfungen, Kontrollen<br />
am System und Protokollierungen sind<br />
eine große Hilfe für die Betriebsratsarbeit.<br />
Stichwort: Konzerndatenschutz<br />
In dem aktuellen SAP-Leitfaden werden<br />
erstmals Aspekte des Konzerndatenschutzes<br />
erörtert. Das ist sehr zu<br />
begrüßen. Schließlich gehört der Konzerndatenschutz<br />
mit zu den schwierigsten<br />
Kapiteln des Arbeitnehmerdatenschutzes,<br />
was insbesondere bei grenzüberschreitender<br />
<strong>Daten</strong>verarbeitung<br />
der Fall ist.<br />
Praxistipp<br />
Für den Umgang mit dem Leitfaden ist<br />
zu empfehlen, sich entsprechend den<br />
konkreten Fragestellungen die betreffenden<br />
Abschnitte vorzunehmen und<br />
auf das eigene strategische Vorgehen<br />
im Betrieb zu beziehen. Natürlich sollen<br />
und können Betriebsräte zusätzlich<br />
Schulungen gemäß § 37 Abs. 6 BetrVG<br />
besuchen, betriebliche Auskunftspersonen<br />
(z.B. Projektleiter) im Rahmen<br />
des § 80 Abs. 2 Satz 3 BetrVG zur Umsetzung<br />
des <strong>Daten</strong>schutzleitfadens befragen<br />
und mit dem betrieblichen <strong>Daten</strong>schutzbeauftragten<br />
kooperieren.<br />
Übrigens: Der <strong>Daten</strong>schutz-Leitfaden<br />
findet sich unter www.dsag.de und<br />
steht dort als Download bereit.■■<br />
77
78<br />
Gesetzentwurf<br />
der Bundesregierung<br />
Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes<br />
Vorblatt<br />
A. Problem und Ziel<br />
Mit dem vorliegenden Gesetzentwurf wird die seit Jahrzehnten diskutierte Schaffung<br />
umfassender gesetzlicher Regelungen für den Arbeitnehmerdatenschutz verwirklicht.<br />
Gegenwärtig existieren nur wenige spezifische gesetzliche Vorschriften zum <strong>Schutz</strong><br />
der personenbezogenen <strong>Daten</strong> von Beschäftigten. Für zahlreiche Fragen der Praxis<br />
zum Beschäftigtendatenschutz bestehen keine speziellen gesetzlichen Regelungen.<br />
Teilweise ergibt sich der rechtliche Rahmen für den Beschäftigtendatenschutz aus<br />
verschiedenen allgemeinen Gesetzen wie dem Bundesdatenschutzgesetz und dem<br />
Betriebsverfassungsgesetz. Daneben existiert eine Vielzahl an gerichtlichen Einzelfallentscheidungen,<br />
anhand derer wichtige Grundsätze für den Beschäftigtendatenschutz<br />
entwickelt worden sind. Jedoch sind insbesondere die gerichtlichen Entscheidungen<br />
für die betroffenen Beschäftigten teilweise nur schwer zu erschließen.<br />
Durch klarere gesetzliche Regelungen soll die Rechtssicherheit für Arbeitgeber und<br />
Beschäftigte erhöht werden. So sollen einerseits die Beschäftigten vor der unrechtmäßigen<br />
Erhebung und Verwendung ihrer personenbezogenen <strong>Daten</strong> geschützt<br />
werden, andererseits soll das Informationsinteresse des Arbeitgebers beachtet werden.<br />
Beides dient dazu, ein vertrauensvolles Arbeitsklima zwischen Arbeitgebern und<br />
Beschäftigten am Arbeitsplatz zu unterstützen.<br />
B. Lösung<br />
Es werden praxisgerechte Regelungen für Beschäftigte und Arbeitgeber geschaffen,<br />
die klarstellen, dass nur solche <strong>Daten</strong> erhoben, verarbeitet und genutzt werden dürfen,<br />
die für das Beschäftigungsverhältnis erforderlich sind. Mit den Neuregelungen<br />
werden Beschäftigte an ihrem Arbeitsplatz zudem wirksam vor Bespitzelungen geschützt;<br />
gleichzeitig werden den Arbeitgebern verlässliche Grundlagen für die Durchsetzung<br />
von Compliance-Anforderungen und für den Kampf gegen Korruption an die<br />
Hand gegeben.
C. Alternativen<br />
Keine<br />
- 2 -<br />
D. Finanzielle Auswirkungen auf die öffentlichen Haushalte<br />
Der Gesetzentwurf hat auf die öffentlichen Haushalte keine bezifferbaren Auswirkungen.<br />
E. Sonstige Kosten<br />
Neben den angegebenen Bürokratiekosten entstehen für die Wirtschaft, insbesondere<br />
für mittelständische Unternehmen, keine zusätzlichen Kosten. Auswirkungen auf<br />
Einzelpreise und das Preisniveau, insbesondere auf das Verbraucherpreisniveau,<br />
sind nicht zu erwarten.<br />
F. Bürokratiekosten<br />
Für die privaten und öffentlichen Arbeitgeber werden 18 Informationspflichten gegenüber<br />
ihren Beschäftigten neu eingeführt.<br />
Für die Bürgerinnen und Bürger wird eine Informationspflicht neu eingeführt.<br />
79
80<br />
Entwurf eines<br />
Gesetzes zur Regelung des Beschäftigtendatenschutzes<br />
Vom …<br />
Der Bundestag hat das folgende Gesetz beschlossen:<br />
Artikel 1<br />
Änderung des Bundesdatenschutzgesetzes<br />
Das Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar<br />
2003 (BGBl. I S. 66), das zuletzt durch Artikel 1 des Gesetzes vom 14. August 2009<br />
(BGBl. I S. 2814) geändert worden ist, wird wie folgt geändert:<br />
1. Die Inhaltsübersicht wird wie folgt geändert:<br />
a) Nach der Angabe zu § 31 wird folgende Angabe eingefügt:<br />
„Zweiter Unterabschnitt<br />
<strong>Daten</strong>erhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses“.<br />
b) Die Angabe zu § 32 wird durch die folgenden Angaben ersetzt:<br />
„§ 32 <strong>Daten</strong>erhebung vor Begründung eines Beschäftigungsverhältnisses<br />
§ 32a Ärztliche Untersuchungen und Eignungstests vor Begründung eines<br />
Beschäftigungsverhältnisses<br />
§ 32b <strong>Daten</strong>verarbeitung und -nutzung vor Begründung eines Beschäftigungsverhältnisses<br />
§ 32c <strong>Daten</strong>erhebung im Beschäftigungsverhältnis<br />
§ 32d <strong>Daten</strong>verarbeitung und -nutzung im Beschäftigungsverhältnis<br />
§ 32e <strong>Daten</strong>erhebung <strong>ohne</strong> Kenntnis des Beschäftigten zur Aufdeckung<br />
und Verhinderung von Straftaten und anderen schwerwiegenden<br />
Pflichtverletzungen im Beschäftigungsverhältnis<br />
§ 32f Beobachtung nicht öffentlich zugänglicher Betriebsstätten mit optischelektronischen<br />
Einrichtungen<br />
§ 32g Ortungssysteme<br />
§ 32h Biometrische Verfahren<br />
§ 32i Nutzung von Telekommunikationsdiensten
- 2 -<br />
§ 32j Unterrichtungspflichten<br />
§ 32k Änderungen<br />
§ 32l Einwilligung, Geltung für Dritte, Rechte der Interessenvertretungen,<br />
Beschwerderecht, Unabdingbarkeit“.<br />
c) Nach der Angabe zu § 32l wird die Angabe zum bisherigen zweiten Unterabschnitt<br />
wie folgt gefasst:<br />
„Dritter Unterabschnitt<br />
Rechte des Betroffenen“.<br />
d) Nach der Angabe zu § 35 wird die Angabe zum bisherigen dritten Unterabschnitt<br />
wie folgt gefasst:<br />
„Vierter Unterabschnitt<br />
Aufsichtsbehörde“.<br />
2. Dem § 3 werden die folgenden Absätze 12 und 13 angefügt:<br />
„(12) Beschäftigtendaten sind personenbezogene <strong>Daten</strong> von Beschäftigten.<br />
(13) Arbeitgeber sind öffentliche und nichtöffentliche Stellen, die<br />
1. Personen nach Absatz 11 beschäftigen oder beschäftigten oder<br />
2. beabsichtigen, Personen nach Absatz 11 zu beschäftigen.<br />
Bei in Heimarbeit Beschäftigten und ihnen Gleichgestellten sind Arbeitgeber die<br />
Auftraggeber oder Zwischenmeister im Sinne des Heimarbeitsgesetzes, bei<br />
Beschäftigten, die Dritten zur Arbeitsleistung überlassen werden, auch die Dritten.“<br />
3. Dem § 4 Absatz 1 wird folgender Satz angefügt:<br />
„Andere Rechtsvorschriften im Sinne dieses Gesetzes sind auch Betriebs- und<br />
Dienstvereinbarungen.“<br />
4. In § 12 Absatz 4 werden die Wörter „§ 28 Absatz 2 Nummer 2 und die §§ 32 bis<br />
35“ durch die Wörter „die §§ 32 bis 34 Absatz 1 Satz 1 und 2, § 34 Absatz 6 bis 8<br />
Satz 1 und § 35“ ersetzt.<br />
81
82<br />
- 3 -<br />
5. Dem § 27 wird folgender Absatz 3 angefügt:<br />
„(3) Für das Erheben, Verarbeiten und Nutzen von Beschäftigtendaten durch den Arbeitgeber<br />
für Zwecke eines früheren, bestehenden oder zukünftigen Beschäftigungsverhältnisses<br />
gelten die Vorschriften des zweiten, dritten und vierten Unterabschnitts.<br />
Satz 1 gilt auch, wenn Beschäftigtendaten erhoben, verarbeitet oder genutzt werden,<br />
<strong>ohne</strong> dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten<br />
Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer<br />
solchen Datei erhoben werden.“<br />
6. Nach § 31 wird folgende Überschrift eingefügt:<br />
„Zweiter Unterabschnitt<br />
<strong>Daten</strong>erhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhält-<br />
nisses“.<br />
7. § 32 wird durch die folgenden §§ 32 bis 32l ersetzt:<br />
„§ 32 <strong>Daten</strong>erhebung vor Begründung eines Beschäftigungsverhältnisses<br />
(1) Der Arbeitgeber darf den Namen, die Anschrift, die Telefonnummer und die Adresse<br />
der elektronischen Post eines Beschäftigten im Sinne des § 3 Absatz 11<br />
Nummer 7 erste Alternative vor Begründung eines Beschäftigungsverhältnisses erheben.<br />
Weitere personenbezogene <strong>Daten</strong> darf er erheben, soweit die Kenntnis dieser<br />
<strong>Daten</strong> erforderlich ist, um die Eignung des Beschäftigten für die vorgesehenen Tätigkeiten<br />
festzustellen. Er darf zu diesem Zweck insbesondere <strong>Daten</strong> über die fachlichen<br />
und persönlichen Fähigkeiten, Kenntnisse und Erfahrungen sowie über die Ausbildung<br />
und den bisherigen beruflichen Werdegang des Beschäftigten erheben.<br />
(2) <strong>Daten</strong> eines Beschäftigten über die rassische und ethnische Herkunft, die Religion<br />
oder Weltanschauung, eine Behinderung, die sexuelle Identität, die Gesundheit,<br />
die Vermögensverhältnisse, Vorstrafen oder laufende Ermittlungsverfahren dürfen<br />
nur unter den Voraussetzungen erhoben werden, unter denen nach § 8 Absatz 1 des<br />
Allgemeinen Gleichbehandlungsgesetzes eine unterschiedliche Behandlung zulässig<br />
ist. Die Vorschriften des Bundeszentralregistergesetzes bleiben unberührt.
- 4 -<br />
(3) Der Arbeitgeber darf von dem Beschäftigten keine Auskunft darüber verlangen, ob<br />
eine Schwerbehinderung oder Gleichstellung mit einer Schwerbehinderung nach § 68<br />
des Neunten Buches Sozialgesetzbuch vorliegt.<br />
(4) Soll eine Beschäftigung bei einer Religionsgemeinschaft, einer ihr zugeordneten<br />
Einrichtung oder bei einer Vereinigung erfolgen, die sich die gemeinschaftliche Pflege<br />
einer Religion oder Weltanschauung zur Aufgabe gemacht hat, darf der Arbeitgeber<br />
auch <strong>Daten</strong> über die religiöse Überzeugung, die Religionszugehörigkeit oder die<br />
Weltanschauung des Beschäftigten erheben, wenn die religiöse Überzeugung, die<br />
Religionszugehörigkeit oder die Weltanschauung unter Beachtung des Selbstverständnisses<br />
der jeweiligen Religionsgemeinschaft oder Vereinigung im Hinblick auf<br />
ihr Selbstbestimmungsrecht oder nach der Art der Tätigkeit eine gerechtfertigte berufliche<br />
Anforderung darstellt.<br />
(5) Ein Arbeitgeber, dessen Tätigkeit unmittelbar und überwiegend politisch oder koalitionspolitisch<br />
ausgerichtet ist oder der Zwecke der Berichterstattung oder Meinungsäußerung<br />
verfolgt, auf die Artikel 5 Absatz 1 Satz 2 des Grundgesetzes anzuwenden<br />
ist, darf auch <strong>Daten</strong> über die politische Meinung und Gewerkschaftszugehörigkeit<br />
des Beschäftigten erheben, soweit die politische Meinung oder die Gewerkschaftszugehörigkeit<br />
im Hinblick auf die Ausrichtung des Arbeitgebers und die Art der<br />
Tätigkeit eine gerechtfertigte berufliche Anforderung darstellt. Ein Arbeitgeber, dessen<br />
Tätigkeit Zwecke der Berichterstattung oder Meinungsäußerung verfolgt, auf die<br />
Artikel 5 Absatz 1 Satz 2 des Grundgesetzes anzuwenden ist, darf <strong>Daten</strong> über die<br />
religiöse Überzeugung, die Religionszugehörigkeit oder die Weltanschauung des Beschäftigten<br />
erheben, soweit die religiöse Überzeugung, die Religionszugehörigkeit<br />
oder die Weltanschauung wegen der Art der auszuübenden Tätigkeit oder der Bedingungen<br />
ihrer Ausübung eine wesentliche und entscheidende berufliche Anforderung<br />
darstellt.<br />
(6) Beschäftigtendaten sind unmittelbar bei dem Beschäftigten zu erheben. Wenn der<br />
Arbeitgeber den Beschäftigten vor der Erhebung hierauf hingewiesen hat, darf der<br />
Arbeitgeber allgemein zugängliche <strong>Daten</strong> <strong>ohne</strong> Mitwirkung des Beschäftigten erheben,<br />
es sei denn, dass das schutzwürdige Interesse des Beschäftigten an dem Ausschluss<br />
der Erhebung das berechtigte Interesse des Arbeitgebers überwiegt. Bei <strong>Daten</strong><br />
aus sozialen Netzwerken, die der elektronischen Kommunikation dienen, überwiegt<br />
das schutzwürdige Interesse des Beschäftigten; dies gilt nicht für soziale Netzwerke,<br />
die zur Darstellung der beruflichen Qualifikation ihrer Mitglieder bestimmt<br />
sind. Mit Einwilligung des Beschäftigten darf der Arbeitgeber auch bei sonstigen Dritten<br />
83
84<br />
- 5 -<br />
personenbezogene <strong>Daten</strong> des Beschäftigten erheben; dem Beschäftigten ist auf Verlangen<br />
über den Inhalt der erhobenen <strong>Daten</strong> Auskunft zu erteilen. Die Absätze 1 bis<br />
5 sowie § 32a bleiben unberührt.<br />
(7) Die <strong>Daten</strong>erhebung ist nur zulässig, wenn Art und Ausmaß im Hinblick auf den<br />
Zweck verhältnismäßig sind.<br />
§ 32a Ärztliche Untersuchungen und Eignungstests vor Begründung eines Beschäftigungsverhältnisses<br />
(1) Der Arbeitgeber darf die Begründung des Beschäftigungsverhältnisses von einer<br />
ärztlichen Untersuchung abhängig machen, wenn und soweit die Erfüllung bestimmter<br />
gesundheitlicher Voraussetzungen wegen der Art der auszuübenden Tätigkeit<br />
oder der Bedingungen ihrer Ausübung eine wesentliche und entscheidende berufliche<br />
Anforderung zum Zeitpunkt der Arbeitsaufnahme darstellt. Der Beschäftigte<br />
muss in die Untersuchung nach Aufklärung über deren Art und Umfang sowie in die<br />
Weitergabe des Untersuchungsergebnisses an den Arbeitgeber eingewilligt haben.<br />
Dem Beschäftigten ist das vollständige Untersuchungsergebnis mitzuteilen. Dem Arbeitgeber<br />
darf nur mitgeteilt werden, ob der Beschäftigte nach dem Untersuchungsergebnis<br />
für die vorgesehenen Tätigkeiten geeignet ist.<br />
(2) Der Arbeitgeber darf die Begründung des Beschäftigungsverhältnisses von einer<br />
sonstigen Untersuchung oder Prüfung abhängig machen, wenn die Untersuchung<br />
oder Prüfung wegen der Art der auszuübenden Tätigkeit oder der Bedingungen ihrer<br />
Ausübung erforderlich ist, um festzustellen, ob der Beschäftigte zum Zeitpunkt der Arbeitsaufnahme<br />
für die vorgesehenen Tätigkeiten geeignet ist (Eignungstest). Der Beschäftigte<br />
muss in den Eignungstest nach Aufklärung über dessen Art und Umfang<br />
sowie in die Weitergabe des Ergebnisses des Eignungstests an den Arbeitgeber eingewilligt<br />
haben. Der Eignungstest ist nach wissenschaftlich anerkannten Methoden<br />
durchzuführen, sofern solche bestehen. Dem Beschäftigten ist das Ergebnis des Eignungstests<br />
mitzuteilen. Sind Eignungstests ganz oder teilweise durch Personen durchzuführen,<br />
die einer beruflichen Schweigepflicht unterliegen, darf dem Arbeitgeber insoweit<br />
nur mitgeteilt werden, ob der Beschäftigte nach dem Ergebnis des Eignungstests<br />
für die vorgesehenen Tätigkeiten geeignet ist
- 6 -<br />
§ 32b <strong>Daten</strong>verarbeitung und -nutzung vor Begründung eines Beschäfti-<br />
gungsverhältnisses<br />
(1) Der Arbeitgeber darf Beschäftigtendaten, die er nach den §§ 32 oder 32a erhoben<br />
hat, verarbeiten und nutzen, soweit dies erforderlich ist, um die Eignung des Beschäftigten<br />
für die vorgesehenen Tätigkeiten festzustellen oder um über die Begründung des<br />
Beschäftigungsverhältnisses zu entscheiden.<br />
(2) Beschäftigtendaten, die der Arbeitgeber <strong>ohne</strong> <strong>Daten</strong>erhebung nach den §§ 32 oder<br />
32a erhalten hat, darf er nur verarbeiten und nutzen, soweit<br />
1. dies erforderlich ist, um die Eignung des Beschäftigten für die vorgesehenen Tätigkeiten<br />
festzustellen oder um über die Begründung des Beschäftigungsverhältnisses zu entscheiden,<br />
und<br />
2. er diese <strong>Daten</strong> nach §§ 32 oder 32a hätte erheben dürfen.<br />
Satz 1 Nummer 2 gilt nicht, wenn der Beschäftigte die <strong>Daten</strong> dem Arbeitgeber übermittelt<br />
hat, <strong>ohne</strong> dass der Arbeitgeber hierzu Veranlassung gegeben hat.<br />
(3) Steht fest, dass ein Beschäftigungsverhältnis nicht begründet wird, sind die Beschäftigtendaten<br />
gemäß § 35 Absatz 2 Satz 2 zu löschen, es sei denn, dass der Beschäftigte<br />
in die weitere Speicherung eingewilligt hat.<br />
§ 32c <strong>Daten</strong>erhebung im Beschäftigungsverhältnis<br />
(1) Beschäftigtendaten dürfen vorbehaltlich der §§ 32e bis 32i erhoben werden, wenn<br />
dies für die Durchführung, Beendigung oder Abwicklung des Beschäftigungsverhältnisses<br />
erforderlich ist. Dies ist insbesondere der Fall, soweit die Kenntnis dieser <strong>Daten</strong><br />
für den Arbeitgeber erforderlich ist, um<br />
1. gesetzliche oder auf Grund eines Gesetzes bestehende Erhebungs-, Melde-,<br />
Auskunfts-, Offenlegungs- oder Zahlungspflichten zu erfüllen,<br />
2. die gegenüber dem Beschäftigten bestehenden Pflichten zu erfüllen oder<br />
3. die gegenüber dem Beschäftigten bestehenden Rechte des Arbeitgebers<br />
einschließlich der Leistungs- und Verhaltenskontrolle wahrzunehmen.<br />
85
86<br />
- 7 -<br />
§ 32 Absatz 2 Satz 2 und Absatz 6 gilt entsprechend.<br />
(2) § 32 Absatz 2 bis 5 gilt entsprechend für die Feststellung, ob der Beschäftigte<br />
fachlich geeignet ist, eine andere oder veränderte Tätigkeit aufzunehmen oder an<br />
einen anderen Arbeitsplatz zu wechseln.<br />
(3) Der Arbeitgeber darf von einem Beschäftigten die Teilnahme an einer ärztlichen<br />
Untersuchung nach Maßgabe des § 32a Absatz 1 sowie die Teilnahme an einem<br />
Eignungstest nach Maßgabe des § 32a Absatz 2 verlangen, soweit dies erforderlich<br />
ist, um die Eignung des Beschäftigten zu überprüfen, wenn<br />
1. tatsächliche Anhaltspunkte vorliegen, die Zweifel an der fortdauernden Eignung des<br />
Beschäftigten begründen, oder<br />
2. ein Wechsel seiner Tätigkeit oder seines Arbeitsplatzes beabsichtigt ist.<br />
(4) Die <strong>Daten</strong>erhebung ist nur zulässig, soweit Art und Ausmaß im Hinblick auf den<br />
Zweck verhältnismäßig sind.<br />
§ 32d <strong>Daten</strong>verarbeitung und -nutzung im Beschäftigungsverhältnis<br />
(1) Der Arbeitgeber darf Beschäftigtendaten verarbeiten und nutzen, soweit<br />
1. sie nach den §§ 32, 32a oder 32c erhoben worden sind,<br />
2. dies erforderlich ist zur Erfüllung der Zwecke, für die die <strong>Daten</strong> erhoben worden<br />
sind, oder zur Erfüllung anderer Zwecke, für die der Arbeitgeber sie nach den Vorschriften<br />
dieses Unterabschnitts hätte erheben dürfen, und<br />
3. dies nach Art und Ausmaß im Hinblick auf den Zweck verhältnismäßig ist.<br />
(2) Beschäftigtendaten, die der Arbeitgeber <strong>ohne</strong> <strong>Daten</strong>erhebung nach den §§ 32,<br />
32a oder 32c erhalten hat, darf er nur verarbeiten und nutzen, soweit<br />
1. dies für die Durchführung, Beendigung oder Abwicklung des Beschäftigungsverhältnisses<br />
erforderlich und nach Art und Ausmaß im Hinblick auf den Zweck verhältnismäßig<br />
ist und<br />
2. er sie nach den §§ 32, 32a oder 32c hätte erheben dürfen.<br />
(3) Der Arbeitgeber darf zur Aufdeckung von Straftaten oder anderen schwerwiegenden<br />
Pflichtverletzungen durch Beschäftigte im Beschäftigungsverhältnis, insbesondere<br />
zur Aufdeckung von Straftaten nach den §§ 266, 299, 331 bis 334 des Strafge-
- 8 -<br />
setzbuchs, einen automatisierten Abgleich von Beschäftigtendaten in anonymisierter<br />
oder pseudonymisierter Form mit von ihm geführten Dateien durchführen. Ergibt sich<br />
ein Verdachtsfall, dürfen die <strong>Daten</strong> personalisiert werden. Der Arbeitgeber hat die<br />
näheren Umstände, die ihn zu einem Abgleich nach Satz 1 veranlassen, zu dokumentieren.<br />
Die Beschäftigten sind über Inhalt, Umfang und Zweck des automatisierten<br />
Abgleichs zu unterrichten, sobald der Zweck durch die Unterrichtung nicht mehr<br />
gefährdet wird.<br />
(4) Ein Dritter, an den Beschäftigtendaten übermittelt worden sind, darf diese nur für<br />
den Zweck verarbeiten und nutzen, zu dessen Erfüllung sie ihm übermittelt wurden.<br />
Der Arbeitgeber hat ihn darauf hinzuweisen.<br />
(5) Der Arbeitgeber darf die nach § 32 Absatz 1 bis 6 sowie nach den §§ 32a und<br />
32c Absatz 1 bis 3 erhobenen Beschäftigtendaten nicht in einer Weise verarbeiten<br />
und nutzen, dass sie durch die automatisierte Zusammenführung einzelner Lebensund<br />
Personaldaten ein Gesamtbild der wesentlichen geistigen und charakterlichen<br />
Eigenschaften oder des Gesundheitszustandes des Beschäftigten ergeben.<br />
§ 32e <strong>Daten</strong>erhebung <strong>ohne</strong> Kenntnis des<br />
Beschäftigten zur Aufdeckung und Verhinderung von Straftaten und anderen<br />
schwerwiegenden Pflichtverletzungen im Beschäftigungsverhältnis<br />
(1) Der Arbeitgeber darf Beschäftigtendaten nur mit Kenntnis des Beschäftigten erheben.<br />
(2) Der Arbeitgeber darf Beschäftigtendaten <strong>ohne</strong> Kenntnis des Beschäftigten nur<br />
erheben, wenn<br />
1. Tatsachen den Verdacht begründen, dass der Beschäftigte im Beschäftigungsverhältnis<br />
eine Straftat oder eine andere schwerwiegende Pflichtverletzung begangen<br />
hat, die den Arbeitgeber bei einem Arbeitnehmer zu einer Kündigung aus wichtigem<br />
Grund berechtigen würde, und<br />
2. die Erhebung erforderlich ist, um<br />
die Straftat oder die andere schwerwiegende Pflichtverletzung aufzudecken oder um<br />
damit im Zusammenhang stehende weitere Straftaten oder schwerwiegende Pflichtverletzungen<br />
des Beschäftigten zu verhindern.<br />
87
88<br />
- 9 -<br />
(3) Die Erhebung nach Absatz 2 muss nach Art und Ausmaß im Hinblick auf den Anlass<br />
verhältnismäßig sein. Sie ist nur zulässig, wenn die Erforschung des Sachverhalts<br />
auf andere Weise erschwert oder weniger erfolgversprechend wäre. Die Erhebung<br />
ist abzubrechen, wenn der Zweck nicht zu erreichen ist; sie ist zu unterbrechen,<br />
wenn der Zweck nur vorübergehend nicht zu erreichen ist. Die Dauer ist auf das Unerlässliche<br />
zu beschränken.<br />
(4) In den Fällen des Absatzes 2 ist die Erhebung von Beschäftigtendaten unzulässig,<br />
wenn sie erfolgt mit Hilfe<br />
1. einer planmäßig angelegten Beobachtung, die länger als 24 Stunden <strong>ohne</strong> Unterbrechung<br />
oder an mehr als vier Tagen stattfinden soll,<br />
2. technischer Mittel zum Abhören oder Aufzeichnen des nicht öffentlich gesprochenen<br />
Wortes oder<br />
3. sonstiger besonderer technischer Mittel, die für Beobachtungszwecke bestimmt<br />
sind.<br />
Satz 1 Nr. 3 gilt nicht für den Einsatz von Ferngläsern und Fotoapparaten.<br />
(5) Der Arbeitgeber darf die nach Absatz 2 erhobenen <strong>Daten</strong> nur für die Zwecke, für<br />
die sie erhoben wurden, verarbeiten und nutzen. Die den Verdacht begründenden<br />
Tatsachen sind vor der <strong>Daten</strong>erhebung zu dokumentieren. Die näheren Umstände<br />
der <strong>Daten</strong>erhebung nach den Absätzen 2 bis 4 sind unverzüglich nach der <strong>Daten</strong>erhebung<br />
zu dokumentieren. § 4d Absatz 5 ist anzuwenden. Der Beschäftigte ist über<br />
die Erhebung, Verarbeitung oder Nutzung zu unterrichten, sobald deren Zweck durch<br />
die Unterrichtung nicht mehr gefährdet wird.<br />
(6) Die <strong>Daten</strong> sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks<br />
nicht mehr erforderlich sind oder schutzwürdige Interessen des Beschäftigten einer<br />
weiteren Speicherung entgegenstehen. Der Grund der Speicherung der <strong>Daten</strong> und<br />
die Löschung sind zu dokumentieren. Die Dokumentation darf ausschließlich für<br />
Zwecke der <strong>Daten</strong>schutzkontrolle verwendet werden. Die Dokumentation ist zu löschen,<br />
wenn sie für diese Zwecke nicht mehr erforderlich ist, spätestens jedoch am<br />
Ende des Kalenderjahres, das dem Jahr der Dokumentation folgt.<br />
(7) <strong>Daten</strong>, die den Kernbereich privater Lebensgestaltung betreffen, darf der Arbeitgeber<br />
nicht erheben, verarbeiten oder nutzen. Wurden solche <strong>Daten</strong> entgegen Satz 1<br />
gespeichert, sind sie unverzüglich zu löschen. Absatz 6 Satz 2 bis 4 ist entsprechend<br />
anzuwenden.
- 10 -<br />
§ 32f Beobachtung nicht öffentlich zugänglicher Betriebsstätten mit optisch-<br />
elektronischen Einrichtungen<br />
(1) Die Beobachtung nicht öffentlich zugänglicher Betriebsgelände, Betriebsgebäude<br />
oder Betriebsräume (Betriebsstätten) mit optisch-elektronischen Einrichtungen (Videoüberwachung),<br />
die auch zur Erhebung von Beschäftigtendaten geeignet ist, ist<br />
nur zulässig<br />
1. zur Zutrittskontrolle,<br />
2. zur Wahrnehmung des Hausrechts,<br />
3. zum <strong>Schutz</strong> des Eigentums,<br />
4. zur Sicherheit des Beschäftigten,<br />
5. zur Sicherung von Anlagen,<br />
6. zur Abwehr von Gefahren für die Sicherheit des <strong>Betriebe</strong>s,<br />
7. zur Qualitätskontrolle,<br />
soweit sie zur Wahrung wichtiger betrieblicher Interessen erforderlich ist und wenn<br />
nach Art und Ausmaß der Videoüberwachung keine Anhaltspunkte dafür bestehen,<br />
dass schutzwürdige Interessen der Betroffenen am Ausschluss der <strong>Daten</strong>erhebung<br />
überwiegen. Der Arbeitgeber hat den Umstand der Videoüberwachung durch geeignete<br />
Maßnahmen erkennbar zu machen. § 6b Absatz 3 und 4 gilt entsprechend. Die<br />
Sätze 1 und 2 gelten entsprechend, wenn von einer Einrichtung lediglich der Anschein<br />
einer Videoüberwachung ausgeht.<br />
(2) Eine Videoüberwachung von Teilen von Betriebsstätten, die überwiegend der<br />
privaten Lebensgestaltung des Beschäftigten dienen, ist unzulässig. Dies gilt insbesondere<br />
für Sanitär-, Umkleide- und Schlafräume.<br />
(3) Die <strong>Daten</strong> sind unverzüglich zu löschen, wenn sie zur Erreichung des Speicherungszwecks<br />
nicht mehr erforderlich sind oder schutzwürdige Interessen des Beschäftigten<br />
einer weiteren Speicherung entgegenstehen.<br />
89
90<br />
- 11 -<br />
§ 32g Ortungssysteme<br />
(1) Der Arbeitgeber darf Beschäftigtendaten durch elektronische Einrichtungen zur<br />
Bestimmung eines geografischen Standortes (Ortungssysteme) nur erheben, verarbeiten<br />
und nutzen, soweit dies aus betrieblichen Gründen erforderlich ist<br />
1. zur Sicherheit des Beschäftigten oder<br />
2. zur Koordinierung des Einsatzes des Beschäftigten<br />
und wenn keine Anhaltspunkte bestehen, dass schutzwürdige Interessen des Beschäftigten<br />
am Ausschluss der <strong>Daten</strong>erhebung, -verarbeitung oder -nutzung überwiegen.<br />
Eine Erhebung nach Satz 1 darf nur während der Arbeitszeit des Beschäftigten<br />
erfolgen. Der Arbeitgeber hat den Einsatz des Ortungssystems durch geeignete<br />
Maßnahmen für den Beschäftigten erkennbar zu machen und ihn über den Umfang<br />
der Aufzeichnungen und deren regelmäßige oder im Einzelfall vorgesehene Auswertung<br />
zu informieren. Beschäftigtendaten, die beim Einsatz von Ortungssystemen erhoben<br />
werden, dürfen nicht zu anderen Zwecken als nach Satz 1 verarbeitet oder<br />
genutzt werden.<br />
(2) Der Arbeitgeber darf Ortungssysteme auch zum <strong>Schutz</strong> beweglicher Sachen einsetzen.<br />
In diesem Fall darf eine Ortung des Beschäftigten nicht erfolgen, solange der<br />
Beschäftigte die bewegliche Sache erlaubterweise nutzt oder diese sich erlaubterweise<br />
in seiner Obhut befindet.<br />
(3) Die <strong>Daten</strong> sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks der<br />
Speicherung nicht mehr erforderlich sind oder schutzwürdige Interessen des Beschäftigten<br />
einer weiteren Speicherung entgegenstehen.<br />
§ 32h Biometrische Verfahren<br />
(1) Der Arbeitgeber darf biometrische Merkmale eines Beschäftigten nur erheben,<br />
verarbeiten und nutzen, soweit dies aus betrieblichen Gründen zu Autorisierungs- und<br />
Authentifikationszwecken erforderlich ist und keine schutzwürdigen Interessen des Beschäftigten<br />
am Ausschluss der <strong>Daten</strong>erhebung, -verarbeitung und -nutzung überwiegen.<br />
<strong>Daten</strong> in Form von Lichtbildern eines Beschäftigten darf der Arbeitgeber auch zu<br />
anderen Zwecken erheben, verarbeiten und nutzen, soweit der Beschäftigte eingewilligt<br />
hat.
- 12 -<br />
(2) Biometrische <strong>Daten</strong> sind unverzüglich zu löschen, wenn sie zur Erreichung des<br />
Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen des Beschäftigten<br />
einer weiteren Speicherung entgegenstehen.<br />
§ 32i Nutzung von Telekommunikationsdiensten<br />
(1) Soweit dem Beschäftigten die Nutzung von Telekommunikationsdiensten ausschließlich<br />
zu beruflichen oder dienstlichen Zwecken erlaubt ist, darf der Arbeitgeber<br />
bei dieser Nutzung anfallende <strong>Daten</strong> nur erheben, verarbeiten und nutzen, soweit dies<br />
erforderlich ist<br />
1. zur Gewährleistung des ordnungsgemäßen Betriebs von Telekommunikationsnetzen<br />
oder Telekommunikationsdiensten, einschließlich der <strong>Daten</strong>sicherheit,<br />
2. zu Abrechnungszwecken oder<br />
3. zu einer stichprobenartigen oder anlassbezogenen Leistungs- oder Verhaltenskontrolle<br />
und soweit keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen des<br />
Beschäftigten an einem Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegen.<br />
Werden nach Satz 1 Nummer 3 erhobene <strong>Daten</strong> einem bestimmten Beschäftigten<br />
zugeordnet, ist dieser über eine Verarbeitung und Nutzung zu unterrichten, sobald<br />
der Zweck der Verarbeitung oder Nutzung durch die Unterrichtung nicht mehr gefährdet<br />
wird.<br />
(2) Inhalte einer ausschließlich zu beruflichen oder dienstlichen Zwecken erlaubten<br />
Nutzung von Telefondiensten darf der Arbeitgeber nur erheben, verarbeiten und nutzen,<br />
soweit dies zur Wahrung seiner berechtigten Interessen erforderlich ist und der<br />
Beschäftigte und seine Kommunikationspartner im Einzelfall vorher darüber informiert<br />
worden sind und darin eingewilligt haben. Ist die ausschließlich zu beruflichen oder<br />
dienstlichen Zwecken erbrachte telefonische Dienstleistung wesentlicher Inhalt der<br />
geschuldeten Arbeitsleistung, darf der Arbeitgeber Inhalte dieser Nutzung <strong>ohne</strong> Kenntnis<br />
des Beschäftigten im Einzelfall zu einer stichprobenartigen oder anlassbezogenen<br />
Leistungs- oder Verhaltenskontrolle erheben, verarbeiten und nutzen, wenn<br />
1. der Beschäftigte in geeigneter Weise vorab darüber informiert worden ist, dass er in<br />
einem eingegrenzten Zeitraum mit einer Kontrolle zu rechnen hat, und<br />
2. die Kommunikationspartner des Beschäftigten über die Möglichkeit der Erhebung,<br />
Verarbeitung und Nutzung informiert worden sind und darin eingewilligt haben.<br />
91
92<br />
- 13 -<br />
Der Arbeitgeber hat den Beschäftigten unverzüglich über die Erhebung, Verarbeitung<br />
und Nutzung der Inhaltsdaten nach Satz 2 zu unterrichten.<br />
(3) Inhalte einer ausschließlich zu beruflichen oder dienstlichen Zwecken erlaubten<br />
Nutzung von anderen als in Absatz 2 genannten Telekommunikationsdiensten darf<br />
der Arbeitgeber erheben, verarbeiten und nutzen, soweit dies zu den in Absatz 1<br />
Nummer 1 oder 3 genannten Zwecken erforderlich ist und keine Anhaltspunkte dafür<br />
bestehen, dass das schutzwürdige Interesse des Beschäftigten an dem Ausschluss<br />
der Erhebung, Verarbeitung oder Nutzung überwiegt. Dies gilt auch, soweit es für den<br />
ordnungsgemäßen Dienst- oder Geschäftsbetrieb des Arbeitgebers in den Fällen einer<br />
Versetzung, Abordnung oder Abwesenheit erforderlich ist. Ohne Kenntnis des<br />
Beschäftigten darf eine Erhebung nach Satz 1 in Verbindung mit Absatz 1 Satz 1<br />
Nummer 3 nur nach Maßgabe des § 32e Absatz 2 bis 7 erfolgen.<br />
(4) Nach Abschluss einer Telekommunikation gelten für die Erhebung, Verarbeitung<br />
und Nutzung der <strong>Daten</strong> und Inhalte die §§ 32c und 32d. Der Arbeitgeber<br />
darf private <strong>Daten</strong> und Inhalte nur erheben, verarbeiten und nutzen, wenn dies<br />
zur Durchführung des ordnungsgemäßen Dienst- oder Geschäftsbetriebes unerlässlich<br />
ist und er den Beschäftigten hierauf schriftlich hingewiesen hat.<br />
§ 32j Unterrichtungspflichten<br />
Stellt ein Arbeitgeber fest, dass bei ihm gespeicherte Beschäftigtendaten unrechtmäßig<br />
übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt<br />
sind, hat er dies unverzüglich den Betroffenen mitzuteilen. Drohen schwerwiegende<br />
Beeinträchtigungen der Rechte oder schutzwürdiger Interessen der Beschäftigten,<br />
hat der Arbeitgeber auch die zuständige Aufsichtsbehörde unverzüglich zu<br />
unterrichten. § 42a Satz 3 bis 4 und 6 gilt entsprechend.<br />
§ 32k Änderungen<br />
Der Arbeitgeber hat Dritten, an die er Beschäftigtendaten übermittelt hat, die Änderung,<br />
Löschung oder Sperrung dieser <strong>Daten</strong> unverzüglich mitzuteilen, es sei denn,<br />
die Mitteilung ist nicht erforderlich, um schutzwürdige Interessen der Beschäftigten<br />
zu wahren.
- 14 -<br />
§ 32l Einwilligung, Geltung für Dritte, Rechte der Interessenvertretungen, Be-<br />
schwerderecht, Unabdingbarkeit<br />
(1) Die Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten durch den<br />
Arbeitgeber auf Grund einer Einwilligung des Beschäftigten ist abweichend von § 4<br />
Absatz 1 nur zulässig, soweit dies in den Vorschriften dieses Unterabschnitts ausdrücklich<br />
vorgesehen ist.<br />
(2) Die Vorschriften dieses Unterabschnitts gelten entsprechend für Dritte, die für den<br />
Arbeitgeber beim Erheben, Verarbeiten und Nutzen von Beschäftigtendaten tätig<br />
werden.<br />
(3) Die Rechte der Interessenvertretungen der Beschäftigten bleiben unberührt.<br />
(4) Bestehen tatsächliche Anhaltspunkte, die den Verdacht begründen, dass der<br />
Arbeitgeber Beschäftigtendaten unbefugt erhebt, verarbeitet oder nutzt, kann sich<br />
der Beschäftigte an die für die <strong>Daten</strong>schutzkontrolle zuständige Behörde wenden,<br />
wenn der Arbeitgeber einer darauf gerichteten Beschwerde des Beschäftigten<br />
nicht unverzüglich abhilft.<br />
(5) Von den Vorschriften dieses Unterabschnitts darf nicht zu Ungunsten der Beschäftigten<br />
abgewichen werden.“<br />
8. Die Überschrift des bisherigen zweiten Unterabschnitts des dritten Abschnitts wird<br />
wie folgt gefasst:<br />
„Dritter Unterabschnitt<br />
Rechte des Betroffenen“.<br />
9. Die Überschrift des bisherigen dritten Unterabschnitts des dritten Abschnitts wird<br />
wie folgt gefasst:<br />
„Vierter Unterabschnitt<br />
Aufsichtsbehörde“.<br />
93
94<br />
- 15 -<br />
10. In § 43 Absatz 1 werden nach Nummer 7b<br />
die folgenden Nummern 7c bis 7g eingefügt:<br />
„7c. entgegen § 32d Absatz 3 Satz 4, § 32e Absatz 5 Satz 5 oder § 32i Absatz<br />
2 Satz 3 den Beschäftigten nicht, nicht richtig oder nicht vollständig oder nicht<br />
rechtzeitig unterrichtet,<br />
7d. entgegen § 32f Absatz 1 Satz 2 den Umstand der Beobachtung nicht erkennbar<br />
macht,<br />
7e. entgegen § 32g Absatz 1 Satz 3 den Einsatz des Ortungssystems nicht erkennbar<br />
macht,<br />
7f. entgegen § 32j Satz 1 oder § 32k eine Mitteilung nicht, nicht richtig, nicht<br />
vollständig oder nicht rechtzeitig macht,<br />
7g. entgegen § 32j Satz 2 die Aufsichtsbehörde nicht, nicht richtig, nicht vollständig<br />
oder nicht rechtzeitig unterrichtet.<br />
Artikel 2<br />
Änderung des Bundesverfassungsschutzgesetzes<br />
§ 27 des Bundesverfassungsschutzgesetzes vom 20. Dezember 1990 (BGBl. I S.<br />
2954, 2970), das zuletzt durch Artikel 1a des Gesetzes vom 31. Juli 2009 (BGBl. I S.<br />
2499) geändert worden ist, wird wie folgt geändert:<br />
1. Im Wortlaut werden die Wörter „nach § 3 durch das Bundesamt für Verfassungs-<br />
schutz“ durch die Wörter „des Bundesamtes für Verfassungsschutz nach diesem Ge-<br />
setz“ ersetzt.<br />
2. Folgender Satz wird angefügt:<br />
„Die Befugnisse des Bundesamtes für Verfassungsschutz zum <strong>Schutz</strong> seiner Mitar-<br />
beiter, Einrichtungen, Gegenstände und Quellen gegen sicherheitsgefährdende oder<br />
geheimdienstliche Tätigkeiten nach dem Zweiten Abschnitt werden durch die an-<br />
wendbaren Vorschriften der §§ 32 bis §32l des Bundesdatenschutzgesetzes nicht<br />
eingeschränkt.“
- 16 -<br />
Artikel 3<br />
Änderung des MAD-Gesetzes<br />
§ 13 des MAD-Gesetzes vom 20. Dezember 1990 (BGBl. I S. 2954, 2977), das zu-<br />
letzt durch Artikel 3 und 10 Absatz 2 des Gesetzes vom 5. Januar 2007 (BGBl. I S. 2)<br />
geändert worden ist, wird wie folgt geändert:<br />
1. Im Wortlaut werden die Wörter „nach § 1 Abs. 1 bis 3, § 2 und § 14“ durch die<br />
Wörter „des Militärischen Abschirmdienstes nach diesem Gesetz“ ersetzt.<br />
2. Folgender Satz wird angefügt:<br />
„Die Befugnisse des Militärischen Abschirmdienstes zum <strong>Schutz</strong> seiner Mitarbeiter,<br />
Einrichtungen, Gegenstände und Quellen gegen sicherheitsgefährdende oder ge-<br />
heimdienstliche Tätigkeiten nach § 5 Nummer 2 werden durch die anwendbaren Vor-<br />
schriften der §§ 32 bis §32l des Bundesdatenschutzgesetzes nicht eingeschränkt.“<br />
Artikel 4<br />
Änderung des BND-Gesetzes<br />
§ 11 des BND-Gesetzes vom 20. Dezember 1990 (BGBl. I S. 2954, 2979), das zu-<br />
letzt durch Artikel 1b des Gesetzes vom 31. Juli 2009 (BGBl. I S. 2499) geändert<br />
worden ist, wird wie folgt gefasst:<br />
„§ 11<br />
Geltung des Bundesdatenschutzgesetzes<br />
Bei der Erfüllung der Aufgaben des Bundesnachrichtendienstes sind § 3 Absatz 2<br />
und 8 Satz 1, § 4 Absatz 2 und 3 sowie die §§ 4b, 4c, 10 und 13 bis 20 des Bundes-<br />
datenschutzgesetzes nicht anzuwenden. Die Befugnisse des Bundesnachrichten-<br />
dienstes zum <strong>Schutz</strong> seiner Mitarbeiter, Einrichtungen, Gegenstände und Quellen<br />
gegen sicherheitsgefährdende oder geheimdienstliche Tätigkeiten nach den §§ 2 bis<br />
95
96<br />
- 17 -<br />
6 werden durch die anwendbaren Vorschriften der §§ 32 bis 32l des Bundesdaten-<br />
schutzgesetzes nicht eingeschränkt.“<br />
Artikel 5<br />
Änderung des Bundesbeamtengesetzes<br />
Dem § 106 des Bundesbeamtengesetzes vom 5. Februar 2009 (BGBl. I S. 160),<br />
das zuletzt durch Artikel 11 des Gesetzes vom … Juli 2010 (BGBl. I S. …) geändert<br />
worden ist, wird folgender Absatz 5 angefügt:<br />
„(5) Die §§ 32 bis 32l des Bundesdatenschutzgesetzes gelten nicht für Personalaktendaten.<br />
Für personenbezogene <strong>Daten</strong> von Bewerberinnen und Bewerbern, Beamtinnen<br />
und Beamten sowie ehemaligen Beamtinnen und ehemaligen Beamten, die<br />
nach Absatz 1 Satz 4 bis 6 nicht zur Personalakte gehören, gelten die §§ 32e bis<br />
32l des Bundesdatenschutzgesetzes; die §§ 32b und 32d des Bundesdatenschutzgesetzes<br />
gelten insoweit entsprechend mit der Maßgabe, dass Absatz 4 an die Stelle<br />
der §§ 32, 32a und 32c des Bundesdatenschutzgesetzes tritt.“<br />
Artikel 6<br />
Änderung des Soldatengesetzes<br />
§ 29 Absatz 2 Satz 2 des Soldatengesetzes in der Fassung der Bekanntmachung<br />
vom 30. Mai 2005 (BGBl. I S. 1482), das zuletzt durch Artikel 10 des Gesetzes vom<br />
5. Februar 2009 (BGBl. I S. 160) geändert worden ist, wird durch die folgenden Sätze<br />
ersetzt:<br />
„Die §§ 32 bis 32l des Bundesdatenschutzgesetzes gelten nicht für Personalaktendaten.<br />
Für personenbezogene <strong>Daten</strong> von Bewerbern, Soldaten und früheren Soldaten,<br />
die nach Absatz 1 Satz 3 und 4 nicht zur Personalakte gehören, gelten die §§<br />
32e bis 32l des Bundesdatenschutzgesetzes; die §§ 32b und 32d des Bundesdatenschutzgesetzes<br />
gelten insoweit entsprechend mit der Maßgabe, dass Satz 1 an<br />
die Stelle der §§ 32, 32a und 32c des Bundesdatenschutzgesetzes tritt.“
- 18 -<br />
Artikel 7<br />
Inkrafttreten<br />
Dieses Gesetz tritt am …[einsetzen: Datum des ersten Tages des sechsten auf die<br />
Verkündung folgenden Monats] in Kraft.<br />
97
98<br />
Begründung<br />
A. Allgemeiner Teil<br />
I. Ziel und Inhalt des Entwurfs<br />
Ziel des Gesetzentwurfs ist es, praxisgerechte Regelungen für Beschäftigte im Sinne<br />
des § 3 Absatz 11 BDSG zu schaffen. Es sollen für Zwecke des Beschäftigungsverhältnisses<br />
nur solche <strong>Daten</strong> verarbeitet werden dürfen, die für dieses Verhältnis erforderlich<br />
sind. <strong>Daten</strong>verarbeitungen, die sich beispielsweise auf für das Beschäftigungsverhältnis<br />
nicht relevantes außerdienstliches Verhalten oder auf nicht dienstrelevante<br />
Gesundheitszustände beziehen, sollen (zukünftig) ausgeschlossen sein. Mit<br />
den Neuregelungen sollen Mitarbeiter an ihrem Arbeitsplatz zudem wirksam vor Bespitzelungen<br />
geschützt und gleichzeitig den Arbeitgebern verlässliche Grundlagen für<br />
die Durchsetzung von Compliance-Anforderungen und den Kampf gegen Korruption<br />
an die Hand gegeben werden.<br />
Der Gesetzentwurf enthält daher Regelungen für die Erhebung, Verarbeitung und<br />
Nutzung von Beschäftigtendaten vor und nach Begründung eines Beschäftigungsverhältnisses.<br />
´<br />
Das immer wieder angesprochene Thema der Einräumung von vereinfachten<br />
Übermittlungsmöglichkeiten im Rahmen von Unternehmenszusammenschlüssen<br />
konnte in diesem Gesetzentwurf keiner abschließenden Lösung zugeführt werden,<br />
weil der Schwerpunkt der Fragestellung nicht im Bereich des Beschäftigtendatenschutzes<br />
liegt und die Frage, welche Arten von Unternehmenszusammenschlüssen<br />
hierbei gemeint sein können, weiterer vertiefter Untersuchung bedarf.<br />
Zudem erscheint eine solche Übermittlungserleichterung europarechtlich als<br />
problematisch.<br />
II. Gesetzgebungskompetenz<br />
Für Regelungen des <strong>Daten</strong>schutzes folgt die Gesetzgebungskompetenz des Bundes<br />
als Annex aus der Kompetenz für die geregelte Sachmaterie. Betroffene Sachmaterien<br />
sind vorwiegend das Arbeitsrecht (Artikel 74 Absatz 1 Nummer 12 Grundgesetz)<br />
und das Recht der Wirtschaft (Artikel 74 Absatz 1 Nummer 11 Grundgesetz). Die Berechtigung<br />
des Bundes zur Inanspruchnahme der konkurrierenden Gesetzgebungs-
- 2 -<br />
kompetenz für das Recht der Wirtschaft ergibt sich aus Artikel 72 Absatz 2 Grundgesetz.<br />
Eine bundesgesetzliche Regelung des <strong>Daten</strong>schutzes von Beschäftigten ist zur<br />
Wahrung der Rechtseinheit im Bundesgebiet im gesamtstaatlichen Interesse erforderlich.<br />
Unterschiedliche Regelungen des <strong>Schutz</strong>es der personenbezogenen <strong>Daten</strong><br />
von Beschäftigten innerhalb des Bundesgebietes hätten insbesondere für in verschiedenen<br />
Ländern tätige Arbeitgeber erhebliche Unsicherheiten bei der rechtlichen<br />
Behandlung der bei ihnen bestehenden Beschäftigungsverhältnisse zur Folge. Dies<br />
beträfe sowohl die <strong>Daten</strong>erhebung und -verwendung vor als auch nach Begründung<br />
eines Beschäftigungsverhältnisses. Innerhalb des gleichen Unternehmens müssten<br />
unterschiedliche datenschutzrechtliche Maßstäbe angelegt werden. Dies hätte unzumutbare<br />
Behinderungen für den länderübergreifenden Rechtsverkehr zur Folge.<br />
Für die Änderungen des Bundesverfassungsschutzgesetzes, des MAD-Gesetzes,<br />
des BND-Gesetzes, des Bundesbeamtengesetzes sowie des Soldatengesetzes<br />
ergibt sich die Gesetzgebungskompetenz des Bundes aus Artikel 73 Absatz 1 Nummern<br />
1, 8, 10 Buchstabe b Grundgesetz.<br />
III. Vereinbarkeit mit dem Recht der Europäischen Union<br />
Der Gesetzentwurf ist mit dem Recht der Europäischen Union vereinbar. Er steht<br />
insbesondere im Einklang mit den Regelungen der Richtlinie 95/46/EG (EG-<br />
<strong>Daten</strong>schutzrichtlinie).<br />
IV. Finanzielle Auswirkungen auf die öffentlichen Haushalte<br />
Finanzielle Auswirkungen auf die öffentlichen Haushalte sind durch den Gesetzentwurf<br />
nicht zu erwarten.<br />
V. Kosten<br />
Zusätzliche Kosten für die Wirtschaft und die Verwaltung entstehen neben den angegebenen<br />
Bürokratiekosten nicht. Zusätzliche Kosten entstehen den Unternehmen<br />
auch nicht auf Grund der Vorschriften zur <strong>Daten</strong>löschung (z.B. § 32g Absatz 3 und §<br />
32h Absatz 2), da diese Vorschriften lediglich bereits geltende Regelungen konkretisieren.<br />
Von den Regelungen sind alle Unternehmen betroffen.<br />
Zusätzliche Kosten für die Bürgerinnen und Bürger sind nicht zu erwarten. Auswirkungen<br />
auf Einzelpreise und das allgemeine Preisniveau, insbesondere auf das Verbraucherpreisniveau,<br />
sind ebenfalls nicht zu erwarten.<br />
99
100<br />
VI. Bürokratiekosten<br />
- 3 -<br />
1. Bürokratiebelastungen für die Wirtschaft und die Verwaltung<br />
Mit dem Gesetzentwurf werden 18 Informationspflichten für Arbeitgeber gegenüber<br />
ihren Beschäftigten eingeführt. Von diesen Informationspflichten sind die Wirtschaft<br />
als privater Arbeitgeber und die Verwaltung als öffentlicher Arbeitgeber gleichermaßen<br />
betroffen.<br />
Diese Informationspflichten sind im Einzelnen:<br />
Norm Informationspflicht Jährliche Fall-<br />
§ 32 Absatz 6<br />
Satz 3<br />
§ 32a Absatz<br />
1 Satz 3<br />
§ 32a Absatz<br />
2 Satz 4<br />
§ 32d Absatz<br />
3 Satz 3<br />
§ 32d Absatz<br />
3 Satz 4<br />
§ 32d Absatz<br />
4 Satz 2<br />
§ 32e Absatz<br />
5 Satz 2<br />
Der Beschäftigte ist auf sein<br />
Verlangen über den Inhalt einer<br />
bei einem Dritten über ihn<br />
eingeholten Auskunft zu unterrichten.<br />
Dem Beschäftigten ist das Ergebnis<br />
einer ärztlichen Untersuchung<br />
oder Prüfung mitzuteilen.<br />
Dem Beschäftigten ist das Ergebnis<br />
eines Eignungstests<br />
mitzuteilen.<br />
Dokumentationspflicht des<br />
Arbeitgebers bei einem automatisierten<br />
<strong>Daten</strong>abgleich<br />
Unterrichtungspflicht des Arbeitgebers<br />
bei einem automatisierten<br />
<strong>Daten</strong>abgleich<br />
Hinweispflicht des Arbeitgebers<br />
auf die Zweckbindung<br />
übermittelter <strong>Daten</strong> gegenüber<br />
dem <strong>Daten</strong>empfänger.<br />
Der Arbeitgeber hat die einen<br />
Verdacht begründenden Tatsachen<br />
zu dokumentieren.<br />
Belastung der Wirt-<br />
zahlschaft<br />
in Tsd. Euro<br />
367.500 809<br />
735.000 1.619<br />
735.000 1.619<br />
17.790 477<br />
17.790 40<br />
2.500.000 6.292 (einmalige<br />
Umstellungskosten)<br />
17.790 477
§ 32e Absatz<br />
5 Satz 3<br />
§ 32e Absatz<br />
5 Satz 5<br />
§ 32e Absatz<br />
6 Satz 2-<br />
§ 32f Absatz<br />
1 Satz 2<br />
§ 32f Absatz<br />
1 Satz 3<br />
§ 32g Absatz<br />
1 Satz 2<br />
§ 32g Absatz<br />
1 Satz 2<br />
§ 32i Absatz<br />
2 Satz 1<br />
- 4 -<br />
Der Arbeitgeber hat die näheren<br />
Umstände der <strong>Daten</strong>erhebung<br />
zu dokumentieren.<br />
Unterrichtungspflicht des Arbeitgebers<br />
über die <strong>Daten</strong>erhebung,<br />
-verarbeitung oder<br />
-nutzung.<br />
Der Grund der Speicherung<br />
und die Löschung sind zu dokumentieren.<br />
Der Arbeitgeber hat den Umstand<br />
einer Videobeobachtung<br />
durch geeignete Maßnahmen<br />
kenntlich zu machen.<br />
Benachrichtigungspflicht des<br />
Arbeitgebers bei einer offenen<br />
Videoüberwachung<br />
Der Arbeitgeber hat dem Beschäftigten<br />
den Einsatz eines<br />
Ortungssystems durch geeignete<br />
Maßnahmen erkennbar<br />
zu machen.<br />
Der Arbeitgeber hat den Beschäftigten<br />
beim Einsatz eines<br />
Ortungssystems über den Umfang<br />
der Aufzeichnungen und<br />
deren regelmäßige oder im<br />
Einzelfall vorgesehene Auswertung<br />
zu informieren.<br />
Der Arbeitgeber hat den Beschäftigten<br />
und seine Kommunikationspartner<br />
im konkreten<br />
Einzelfall vorher darüber zu<br />
informieren, ob er Inhalte einer<br />
ausschließlich zu beruflichen<br />
oder dienstlichen Zwecken<br />
erlaubten Nutzung von Telefondiensten<br />
erhebt, verarbeitet<br />
oder nutzt.<br />
17.790 477<br />
17.790 477<br />
17.790 477<br />
300.000 3.020 (einmalige<br />
Umstellungskosten)<br />
6.000 12<br />
2.000.000 503 (einmalige<br />
Umstellungskosten)<br />
2.000.000 503 (einmalige<br />
Umstellungskosten)<br />
5.000.000 1.600<br />
101
102<br />
- 5 -<br />
§ 32i Absatz Der Arbeitgeber hat den Be-<br />
2 Satz 2 schäftigten und seine Kommunikationspartner<br />
über die Möglichkeit<br />
der Erhebung, Verarbeitung<br />
und Nutzung von Inhalten<br />
der Nutzung von Telefondiensten<br />
zu informieren.<br />
§ 32i Absatz Der Arbeitgeber hat den Be-<br />
2 Satz 3 schäftigten über die Erhebung,<br />
Verarbeitung und Nutzung von<br />
Inhaltsdaten nach Satz 2 zu<br />
unterrichten.<br />
§ 32k Satz 1 Der Arbeitgeber hat Dritten, an<br />
die er Beschäftigtendaten<br />
übermittelt hat, die Änderung,<br />
Löschung oder Sperrung dieser<br />
<strong>Daten</strong> unverzüglich mitzuteilen,<br />
es sei denn, dass die<br />
Mitteilung zur Wahrung<br />
schutzwürdiger Interessen der<br />
Beschäftigten nicht erforderlich<br />
ist.<br />
100.000 252<br />
100.000 252<br />
358.000 901<br />
Für die Bundesverwaltung als Dienstherr von Beamtinnen und Beamten werden besondere<br />
Informationspflichten nach den §§ 106 ff BBG durch einige dieser Vorschriften<br />
des Gesetzentwurfs ergänzt, soweit sie spezielle Sachverhalte betreffen, die im<br />
Bundesbeamtengesetz nicht geregelt sind.<br />
Mit den eine Einwilligung zulassenden Regelungen (§ 32 Absatz 6 Satz 4, § 32a Absatz<br />
1 Satz 2, Absatz 2 Satz 2, § 32b Absatz 3, § 32c Absatz 3, 32h Absatz 1 Satz 2,<br />
§ 32i Absatz 2 Satz 1, § 32i Absatz 2 Satz 2) werden gegenüber der geltenden<br />
Rechtslage (§§ 4 und 4a BDSG) keine neuen Informationspflichten begründet.<br />
Mit den neuen Regelungen zum Beschäftigtendatenschutz ist eine Gesamtbelastung<br />
für die Wirtschaftsunternehmen in Höhe von insgesamt 9,49 Mio. € jährlich verbunden.<br />
Zudem wird von einmaligen Umstellungskosten in Höhe von insgesamt 10,3<br />
Mio. € ausgegangen.
- 6 -<br />
2. Bürokratiebelastungen für die Bürgerinnen und Bürger<br />
Für die Bürgerinnen und Bürger wird die folgende Informationspflicht neu eingeführt.<br />
Norm Informationspflicht Jährliche<br />
§ 32 Absatz 6<br />
Satz 3<br />
Der Beschäftigte ist auf sein<br />
Verlangen über den Inhalt der<br />
Auskunft zu unterrichten<br />
Belastung der Bür-<br />
Fallzahl ger in Stunden<br />
367.500 30.625<br />
VII. Auswirkungen von gleichstellungspolitischer Bedeutung<br />
Auswirkungen von gleichstellungspolitischer Bedeutung sind nicht zu erwarten.<br />
VII. Nachhaltigkeit<br />
Das Vorhaben wird auch langfristig zu einer größeren Rechtssicherheit und einem<br />
besseren <strong>Schutz</strong> der personenbezogenen <strong>Daten</strong> von Beschäftigten im Beschäftigungsverhältnis<br />
führen. Die Regelungen sind technikneutral ausgestaltet und bieten<br />
so die Gewähr, zukünftige technische Entwicklungen mit zu umfassen.<br />
103
104<br />
B. Besonderer Teil<br />
Zu Artikel 1<br />
Zu Nummer 1 (Inhaltsübersicht)<br />
- 7 -<br />
Die Inhaltsübersicht ist an die nachfolgend begründeten Gesetzesänderungen anzupassen.<br />
Zu Nummer 2 (§ 3 Absätze 12 und 13)<br />
Mit den Absätzen 12 und 13 werden in § 3 neue Begriffsbestimmungen aufgenommen,<br />
die für dieses Änderungsgesetz von Bedeutung sind.<br />
Absatz 12 stellt klar, dass es sich bei Beschäftigtendaten um personenbezogene <strong>Daten</strong><br />
von Beschäftigten handelt.<br />
Absatz 13 konkretisiert den Begriff des Arbeitgebers für den Bereich des <strong>Daten</strong>schutzrechts.<br />
Zu Nummer 3 (§ 4 Absatz 1 Satz 2)<br />
Mit dem neuen Satz 2 wird klargestellt, dass auch Betriebs- und Dienstvereinbarungen<br />
andere Rechtsvorschriften im Sinne des § 4 Absatz 1 Satz 1 sind. Damit wird die<br />
herrschende Rechtsauffassung in Rechtsprechung und Literatur ausdrücklich gesetzlich<br />
geregelt. Mit dieser Klarstellung erfolgt weder eine Einschränkung noch eine Erweiterung<br />
der Möglichkeiten und Grenzen, durch Betriebs- oder Dienstvereinbarungen<br />
abweichende Regelungen zu treffen, gegenüber der jetzigen, durch die Rechtsprechung<br />
geprägten Rechtslage.<br />
Zu Nummer 4 (§ 12 Absatz 4)<br />
Es handelt sich um redaktionelle Änderungen, die die bestehende Regelung an die<br />
mit diesem Gesetz geänderte Rechtslage anpassen. Spezialgesetzliche Regelungen<br />
der <strong>Daten</strong>erhebung, -verarbeitung und -nutzung in sonstigen Rechtsvorschriften, wie<br />
z.B. im Sicherheitsüberprüfungsgesetz, in § 9 Absatz 1 Nummer 2 BVerfSchG, § 2<br />
Absatz 1 Nummer 1 BNDG, § 5 Absatz 1 Nummer 2 MADG, bleiben unberührt.
Zu Nummer 5 (§ 27 Absatz 3)<br />
- 8 -<br />
Absatz 3 beschreibt den Anwendungsbereich der Regelungen des neuen zweiten<br />
Unterabschnitts des dritten Abschnitts. Die Vorschriften sind anwendbar auf Arbeitgeber<br />
im Sinne von § 3 Absatz 13 (neu). Die Vorschriften gelten nur für die <strong>Daten</strong>erhebung,<br />
-verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses.<br />
Sollen Beschäftigtendaten für andere Zwecke erhoben, verarbeitet oder genutzt werden,<br />
gelten nicht die Vorschriften der §§ 32 bis 32l, sondern die übrigen Bestimmungen<br />
des Bundesdatenschutzgesetzes. Für Dritte im Sinne von § 3 Absatz 8, die, <strong>ohne</strong><br />
Auftragsdatenverarbeiter zu sein, für den Arbeitgeber tätig sind, bestimmt § 32l<br />
Absatz 2 die Anwendbarkeit des zweiten Unterabschnitts.<br />
Übermittlungen von Beschäftigtendaten für außerhalb des Beschäftigungsverhältnisses<br />
bestehende Zwecke sind daher u.a nach § 28 zu beurteilen. Spezialgesetzliche<br />
Regelungen der <strong>Daten</strong>erhebung, -verarbeitung und -nutzung in sonstigen Rechtsvorschriften,<br />
wie z.B. in § 9 Absatz 1 Nummer 2 BVerfSchG, § 2 Absatz 1 Nummer 1<br />
BNDG, § 5 Absatz 1 Nummer 2 MADG, bleiben unberührt.<br />
Der Anwendungsbereich ist zudem nicht auf automatisierte <strong>Daten</strong> beschränkt, sondern<br />
erfasst auch den Umgang mit z.B. papiergebundenen Beschäftigtendaten.<br />
Zu Nummer 6<br />
Es wird ein neuer zweiter Unterabschnitt des dritten Abschnitts eingefügt, in dem die<br />
<strong>Daten</strong>erhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses<br />
im Zusammenhang geregelt wird.<br />
Zu Nummer 7 (§§ 32 bis 32l)<br />
Die Regelungen des Unterabschnitts zum Beschäftigtendatenschutz gehen, soweit<br />
sie speziellere Regelungen treffen, den übrigen Bestimmungen des dritten Abschnitts<br />
vor. Insbesondere gehen die Regelungen dem § 28 Absatz 1 Nummer 1 vor. Gleichzeitig<br />
gelten insbesondere die allgemeinen und gemeinsamen Bestimmungen sowie<br />
die Vorschriften über die Rechte der Betroffenen grundsätzlich auch für den Beschäftigtendatenschutz.<br />
Hierzu zählt der Auskunftsanspruch des Betroffenen nach § 34,<br />
wonach dem Betroffenen auf Verlangen unter anderem Auskunft über die zu seiner<br />
Person gespeicherten <strong>Daten</strong>, auch soweit sie sich auf die Herkunft dieser <strong>Daten</strong> beziehen,<br />
zu erteilen ist. Damit wird die erforderliche Transparenz bei der <strong>Daten</strong>verar-<br />
105
106<br />
- 9 -<br />
beitung im Beschäftigungsverhältnis weiterhin sichergestellt. Von den allgemeinen<br />
und gemeinsamen Vorschriften abweichende und damit als speziellere Vorschrift<br />
vorgehende Regelung ist insbesondere § 32l Absatz 1 zur Einwilligung zu beachten.<br />
Ebenso wie für den bisherigen § 32 gilt, dass nach dem Grundsatz des § 1 Absatz 3<br />
die Vorschriften dieses Unterabschnittes keine Anwendung finden, soweit andere<br />
Rechtsvorschriften des Bundes auf personenbezogene <strong>Daten</strong> einschließlich deren<br />
Veröffentlichung anzuwenden sind. Dies gilt beispielsweise für spezielle Befugnisse,<br />
<strong>Daten</strong> zur Abwehr von Gefahren für die Informationstechnik und <strong>Daten</strong>sicherheit zu<br />
erheben, zu verarbeiten und zu nutzen (§ 5 BSIG). Insbesondere trifft dies aber auf<br />
die §§ 106 bis 115 des Bundesbeamtengesetzes (BBG) oder § 29 des Soldatengesetzes<br />
(SG) zu, die eigene Regelungen für den Umgang mit personenbezogenen<br />
<strong>Daten</strong> für Zwecke des Beschäftigungsverhältnisses enthalten. Insoweit wird auf die<br />
Begründung zu Artikel 5 und Artikel 6 verwiesen.<br />
Zu § 32 (<strong>Daten</strong>erhebung vor Begründung eines Beschäftigungsverhältnisses)<br />
Die Vorschrift regelt die <strong>Daten</strong>erhebung in der Anbahnungsphase, insbesondere<br />
durch mündliche und schriftliche Befragung der Bewerber.<br />
Zu Absatz 1<br />
Nach Absatz 1 unterliegt die Erhebung des Namens und der Kontaktdaten des Bewerbers<br />
keinen besonderen Voraussetzungen, da <strong>ohne</strong> diese die Durchführung eines<br />
Bewerbungsverfahrens nicht möglich ist. Die Erhebung weiterer <strong>Daten</strong> ist dagegen<br />
nur zulässig, wenn und soweit deren Kenntnis für die Feststellung der fachlichen<br />
und persönlichen Eignung des Bewerbers für die vorgesehenen Tätigkeiten erforderlich<br />
ist. Welche <strong>Daten</strong> dieses im Einzelfall sein können, richtet sich nach objektiven<br />
beruflichen Kriterien und dem vom Arbeitgeber festgelegten Anforderungsprofil. Die<br />
Regelung entspricht der bisherigen Rechtsprechung des Bundesarbeitsgerichts, das<br />
ein Fragerecht des Arbeitgebers bei den Einstellungsverhandlungen nur insoweit anerkennt,<br />
als der Arbeitgeber ein berechtigtes, billigenswertes und schutzwürdiges<br />
Interesse an der Beantwortung seiner Frage im Hinblick auf das Arbeitsverhältnis<br />
hat. Vorgesehene Tätigkeiten im Sinne der Regelung liegen auch dann vor, wenn der<br />
Arbeitgeber verschiedene Stellen in einem Verfahren ausgeschrieben hat und im<br />
Bewerbungsverfahren entscheidet, welcher Bewerber auf welcher Stelle eingesetzt<br />
werden soll.
Zu Absatz 2<br />
- 10 -<br />
Absatz 2 stellt für besonders schutzwürdige <strong>Daten</strong> der Bewerber Sonderregelungen<br />
auf.<br />
Diese <strong>Daten</strong> darf der Arbeitgeber nur unter den strengen Voraussetzungen des § 8<br />
Absatz 1 des Allgemeinen Gleichbehandlungsgesetzes (AGG) erheben. Maßgebend<br />
für die Zulässigkeit der Erhebung sind daher die aus objektiver Sicht zu bestimmenden<br />
wesentlichen und entscheidenden beruflichen Anforderungen. Diese können<br />
sich auch aus einem unternehmerischen Konzept ergeben, wenn sie einen engen<br />
Tätigkeitsbezug aufweisen, der den Erfolg der Tätigkeit wesentlich bestimmt. Hinsichtlich<br />
der Frage nach Vorstrafen bleiben gemäß § 1 Absatz 3 Satz 1 die Vorschriften<br />
des Bundeszentralregistergesetzes (BZRG) unberührt. Das bedeutet insbesondere,<br />
dass der Bewerber sich gemäß § 53 Absatz 1 BZRG als unbestraft bezeichnen<br />
darf und den der Verurteilung zugrunde liegenden Sachverhalt nicht zu offenbaren<br />
braucht, wenn die dortigen Voraussetzungen vorliegen. Die Regelung entspricht der<br />
bisherigen Rechtsprechung des Bundesarbeitsgerichts, wonach der Arbeitgeber einen<br />
Bewerber nur nach Vorstrafen fragen darf, wenn und soweit die Art des zu besetzenden<br />
Arbeitsplatzes dies erfordert.<br />
Zu Absatz 3<br />
Da die <strong>Daten</strong>erhebung auf das erforderliche Maß zu beschränken ist, besteht nach<br />
dieser Regelung vor Begründung des Beschäftigungsverhältnisses kein Fragerecht<br />
nach der Schwerbehinderten- oder Gleichstellungseigenschaft. Die entgegenstehende<br />
Rechtsprechung des Bundesarbeitsgerichts aus der Zeit vor Inkrafttreten der<br />
Richtlinie 2000/78/EG sowie des Neunten Buches Sozialgesetzbuch (SGB IX) und<br />
des Allgemeinen Gleichbehandlungsgesetzes ist durch die dort aufgestellten Diskriminierungsverbote<br />
überholt. Die Einstellung eines Bewerbers darf aus Gründen der<br />
Gleichbehandlung nicht wegen der Schwerbehinderten- oder Gleichstellungseigenschaft<br />
verweigert werden, wenn die zu Grunde liegende Behinderung der Eignung<br />
nicht entgegensteht. Zur Erfüllung der sich aus dem Neunten Buch des Sozialgesetzbuches<br />
ergebenden Pflichten des Arbeitgebers und Rechte der schwerbehinderten<br />
und diesen gleichgestellten behinderten Menschen bedarf es des Fragerechts<br />
nach der Schwerbehinderten- oder Gleichstellungseigenschaft vor Begründung des<br />
Beschäftigungsverhältnisses nicht. Will der Arbeitgeber der Pflicht zur Beschäftigung<br />
schwerbehinderter oder gleichgestellter Menschen gemäß § 71 SGB IX nachkommen,<br />
kann er dieses Ziel z. B. durch einen entsprechenden Hinweis in der Stellenausschreibung<br />
erreichen. Das Gleiche gilt für den öffentlichen Arbeitgeber hinsicht-<br />
107
108<br />
- 11 -<br />
lich der Verpflichtung gemäß § 82 Satz 2 SBG IX, schwerbehinderte und gleichgestellte<br />
Bewerber zum Vorstellungsgespräch einzuladen. Damit bleibt es den Bewerbern<br />
überlassen, ob sie dieses Datum offenlegen.<br />
Zu Absatz 4<br />
Diese Regelung trägt dem Selbstverständnis und dem verfassungsrechtlich garantierten<br />
Selbstbestimmungsrecht der Religions- und Weltanschauungsgemeinschaften<br />
Rechnung. Als Konsequenz aus der Zulässigkeit der unterschiedlichen Behandlung<br />
wegen der Religion oder Weltanschauung nach § 9 Abs. 1 Allgemeines Gleichbehandlungsgesetz<br />
steht diesen Arbeitgebern ein Fragerecht unter denselben, gegenüber<br />
Absatz 2 Satz 1 erleichterten, Voraussetzungen zu.<br />
Zu Absatz 5<br />
Diese Ausnahmeregelung betrifft insbesondere Parteien (politisch), Gewerkschaften<br />
und Arbeitgeberverbände (koalitionspolitisch) sowie Pressebetriebe und Rundfunkund<br />
Fernsehanstalten (Berichterstattung oder Meinungsäußerung). Die durch die<br />
Artikel 5 Abs. 1, 9 Abs. 3 und 21 des Grundgesetzes geschützten Freiheiten gewährleisten<br />
ihnen das Recht, ihre geistig-ideelle Ausrichtung festzulegen. Um die Verwirklichung<br />
dieser Ausrichtung zu erreichen und zu erhalten, muss der Arbeitgeber die<br />
Möglichkeit haben, durch Befragung der Bewerber festzustellen, ob ihre persönliche<br />
Einstellung dieser Ausrichtung entspricht, wenn die Art der zukünftigen Tätigkeit diese<br />
Anforderung rechtfertigt. Dabei ist die Frage nach der Religion oder Weltanschauung<br />
nur unter den gleichen strengeren Voraussetzungen zulässig, unter denen eine<br />
unterschiedliche Behandlung nach § 8 Allgemeines Gleichbehandlungsgesetz (AGG)<br />
wegen der Religion oder Weltanschauung zulässig ist. Es handelt sich nämlich hier –<br />
anders als in Absatz 6 und § 9 AGG - nicht um eine Beschäftigung bei einer Religions-<br />
oder Weltanschauungsgemeinschaft, so dass die im Hinblick auf deren Selbstverständnis<br />
und verfassungsrechtlich garantierten Selbstbestimmungsrecht in Absatz<br />
6 und § 9 AGG aufgestellten erleichterten Voraussetzungen für ein Fragerecht hier<br />
nicht genügen.<br />
Durch das Abstellen auf die Art der Tätigkeit wird das Fragerecht des Arbeitgebers<br />
auf die Bewerber beschränkt, für deren zukünftige Tätigkeit die genannten Merkmale<br />
von Bedeutung sind, was z. B. bei einem Pförtner oder Hausmeister nicht der Fall ist.<br />
Zu Absatz 6<br />
Satz 1 enthält den Grundsatz der Direkterhebung. Satz 2 regelt eine Ausnahme hier-
- 12 -<br />
von hinsichtlich allgemein zugänglicher <strong>Daten</strong> des Bewerbers. Der Arbeitgeber hat<br />
den Beschäftigten auf die mögliche Erhebung von allgemein zugänglichen <strong>Daten</strong><br />
über ihn hinzuweisen. Ein solcher Hinweis kann z. B. in der Stellenausschreibung<br />
erfolgen. Wenn der Arbeitgeber diese <strong>Daten</strong> elektronisch oder in Papierform speichert,<br />
muss er den Beschäftigten nach § 33 hierüber benachrichtigen. Allgemein zugänglich<br />
sind <strong>Daten</strong> z. B. dann, wenn sie der Presse oder dem Rundfunk zu entnehmen<br />
sind. Auch im Internet bei bestimmungsgemäßer Nutzung für jeden abrufbare<br />
<strong>Daten</strong> sind grundsätzlich allgemein zugänglich, insbesondere, wenn die <strong>Daten</strong> über<br />
eine allgemeine Suchmaschine auffindbar sind. Sind die eingestellten <strong>Daten</strong> dagegen<br />
nur einem beschränkten Personenkreis zugänglich, z. B. ausgewählten Freunden,<br />
liegt eine allgemeine Zugänglichkeit nicht vor. Die Erhebung allgemein zugänglicher<br />
<strong>Daten</strong> ist nicht zulässig, wenn das schutzwürdige Interesse des Beschäftigten<br />
an dem Ausschluss der Erhebung gegenüber dem berechtigten Interesse des Arbeitgebers<br />
überwiegt. Einen solchen Fall regelt ausdrücklich Satz 2 letzter Halbsatz<br />
im Hinblick auf soziale Netzwerke im Internet, die der elektronischen Kommunikation<br />
dienen. Die dort eingestellten <strong>Daten</strong> dürfen vom Arbeitgeber grundsätzlich nicht erhoben<br />
werden; eine Ausnahme hiervon gilt nur für soziale Netzwerke im Internet, die<br />
gerade zur eigenen Präsentation gegenüber potentiellen Arbeitgebern genutzt werden.<br />
Überwiegende schutzwürdige Interessen des Beschäftigten können sich im Übrigen<br />
daraus ergeben, wie alt die Veröffentlichung der <strong>Daten</strong> im Internet ist, in welchem<br />
Kontext sie erfolgt und ob der Beschäftigte nach den erkennbaren Umständen<br />
noch die Herrschaft über die Veröffentlichung hat. Bei der Abwägung ist auch zu berücksichtigen,<br />
ob der Arbeitgeber durch die Erhebung der <strong>Daten</strong> zu Zwecken des<br />
Beschäftigungsverhältnisses gegen allgemeine Geschäftsbedingungen desjenigen,<br />
der die Informationen bzw. die Plattform für diese zur Verfügung stellt, verstoßen<br />
würde. In diesem Fall ist die Erhebung der <strong>Daten</strong> ebenfalls in der Regel wegen eines<br />
überwiegenden Interesses des Arbeitnehmers unzulässig. Die Erhebung von <strong>Daten</strong><br />
aus allgemein zugänglichen Quellen stellt in der Regel eine <strong>Daten</strong>erhebung bei einem<br />
Dritten dar. Satz 3 beschränkt vor diesem Hintergrund die <strong>Daten</strong>erhebung bei<br />
sonstigen Dritten (z. B. einem früheren Arbeitgeber) auf den Fall der Einwilligung des<br />
Beschäftigten. Dem Transparenzgebot folgend, gibt der 2. Halbsatz des Satzes 3<br />
dem Beschäftigten einen Anspruch auf Information über die bei dem sonstigen Dritten,<br />
der keine allgemein zugängliche Quelle darstellt, erhobenen <strong>Daten</strong>. Satz 4 stellt<br />
klar, dass Absatz 6 nur festlegt, aus welchen Quellen Beschäftigtendaten erhoben<br />
werden dürfen, dass er jedoch nicht Inhalt und Umfang der <strong>Daten</strong>erhebung erfasst.<br />
Diese richten sich in jedem Fall nach den Absätzen 1 bis 5 und § 32a. Die dort gesetzten<br />
Grenzen werden durch Absatz 6 nicht erweitert. Auch durch die Einwilligung<br />
werden diese Grenzen nicht verändert. Sie legitimiert lediglich die <strong>Daten</strong>erhebung bei<br />
dem sonstigen Dritten, nicht aber ein über die Absätze 1 bis 5 und § 32a hinaus ge-<br />
109
110<br />
- 13 -<br />
hendes Fragerecht des Arbeitgebers, auch nicht etwa in Form einer Aufforderung zur<br />
Vorlage einer unbeschränkten Selbstauskunft nach den §§ 19, 34.<br />
Absatz 6 stellt keine den § 4 ausschließende, sondern eine diesen ergänzende Regelung<br />
dar.<br />
Zu Absatz 7<br />
Absatz 7 weist auf den Grundsatz der Verhältnismäßigkeit hin, der Art und Ausmaß<br />
jeder <strong>Daten</strong>erhebung im Hinblick auf den Zweck begrenzt. Die Erhebung muss daher<br />
zur Erfüllung des festgelegten Zwecks geeignet und erforderlich sein und in einem<br />
angemessenen Verhältnis zu den betroffenen Rechten des Bewerbers stehen.<br />
Zu § 32a (Ärztliche Untersuchungen und Eignungstests vor Begründung eines<br />
Beschäftigungsverhältnisses)<br />
Zu Absatz 1<br />
Absatz 1 regelt die Voraussetzungen für eine ärztliche Untersuchung zur Feststellung<br />
der Eignung des Bewerbers für die vorgesehenen Tätigkeiten sowie den Umgang mit<br />
dem dabei ermittelten Ergebnis. Der Gesundheitszustand muss zum Zeitpunkt der<br />
Arbeitsaufnahme eine wesentliche und entscheidende berufliche Anforderung darstellen.<br />
Das bedeutet, dass die Untersuchung sich auch auf zukünftige Tätigkeiten<br />
beziehen kann, wenn sie zu diesem Zeitpunkt bereits vorgesehen sind. So kann z. B.<br />
die Tropentauglichkeit des Bewerbers geprüft werden, wenn ein späterer Einsatz in<br />
den Tropen zu den vorgesehenen Tätigkeiten gehört. Für gendiagnostische Untersuchungen<br />
gelten die spezielleren Vorschriften des Gendiagnostikgesetzes.<br />
Zu Absatz 2<br />
Neben der ärztlichen Untersuchung nach Absatz 1 kommen auch sonstige Untersuchungen<br />
oder Prüfungen (Eignungstests) in Betracht. Die Voraussetzung der Erforderlichkeit<br />
für die Eignungsfeststellung schließt die Erhebung von <strong>Daten</strong>, die für die<br />
vorgesehene Tätigkeit <strong>ohne</strong> Bedeutung sind, aus. Art und Umfang der Untersuchung<br />
oder Prüfung hängen daher entscheidend von der zukünftigen Tätigkeit ab. So sind<br />
z. B. Belastungs- oder Reaktionstests nur zulässig, wenn und soweit diesbezüglich<br />
besondere berufliche Anforderungen bestehen. Der Eignungstest muss nach wissenschaftlich<br />
anerkannten Methoden durchgeführt werden, wenn solche bestehen.<br />
Wenn Untersuchungen oder Prüfungen von Personen, die einer beruflichen Verschwiegenheitspflicht<br />
unterliegen (z.B. Berufspsychologen), durchgeführt werden,
- 14 -<br />
darf dem Arbeitgeber, anders als dem Bewerber selbst, nicht das konkrete Ergebnis<br />
der Untersuchung oder Prüfung, sondern nur die Eignung oder fehlende Eignung für<br />
die angestrebte Tätigkeit mitgeteilt werden.<br />
Zu § 32b (<strong>Daten</strong>verarbeitung und -nutzung vor Begründung eines Beschäfti-<br />
gungsverhältnisses)<br />
Zu Absatz 1<br />
Absatz 1 knüpft die Zulässigkeit der Verarbeitung und Nutzung von Beschäftigtendaten<br />
durch den Arbeitgeber an die <strong>Daten</strong>erhebung nach den §§ 32 oder 32a und die<br />
Erforderlichkeit der <strong>Daten</strong> für die Feststellung der Eignung des Beschäftigten sowie<br />
für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses.<br />
Zu Absatz 2<br />
Absatz 2 bestimmt, dass der Arbeitgeber auch solche Beschäftigtendaten, die er<br />
nicht erhoben, d. h. nicht zielgerichtet beschafft hat, sondern, die ihm auf andere<br />
Weise zugetragen worden oder zur Kenntnis gelangt sind, nicht uneingeschränkt<br />
verarbeiten und nutzen darf. Vielmehr muss dies für die Feststellung der Eignung des<br />
Beschäftigten für die vorgesehenen Tätigkeiten oder für die Entscheidung über die<br />
Begründung des Beschäftigungsverhältnisses erforderlich sein Darüber hinaus setzt<br />
die Verarbeitung und Nutzung voraus, dass der Arbeitgeber die <strong>Daten</strong> nach den §§<br />
32 oder 32a hätte erheben dürfen; eine Ausnahme hiervon gilt nur, wenn er sie von<br />
dem Beschäftigten selbst erhalten hat, <strong>ohne</strong> dass er hierzu Veranlassung gegeben<br />
hat.<br />
Sobald eine Speicherung dieser <strong>Daten</strong> erfolgt ist, ist der Beschäftigte nach § 33 zu<br />
benachrichtigen.<br />
Zu Absatz 3<br />
Die Vorschrift verweist im ersten Halbsatz deklaratorisch auf die Löschungspflicht<br />
nach § 35 Absatz 2 Satz 2 für den Fall, dass das Beschäftigungsverhältnis nicht begründet<br />
wird. Der zweite Halbsatz enthält eine Ausnahme von der Löschungspflicht<br />
bei Einwilligung des Bewerbers in die weitere Speicherung, z. B. im Hinblick auf eine<br />
mögliche spätere Einstellung. Die Vorschrift bezieht sich sowohl auf vom Bewerber<br />
eingereichte <strong>Daten</strong>, als auch auf eigene Aufzeichnungen des Arbeitgebers über den<br />
Bewerber, die er etwa während des Bewerbungsverfahrens angelegt hat.<br />
111
112<br />
- 15 -<br />
Zu § 32 c (<strong>Daten</strong>erhebung im Beschäftigungsverhältnis)<br />
Zu Absatz 1<br />
Absatz 1 ist die Grundnorm für die Erhebung von Beschäftigtendaten im Beschäftigungsverhältnis<br />
für seine Zwecke. Die <strong>Daten</strong>erhebung ist zulässig, soweit sie für die<br />
Durchführung, Beendigung, Abwicklung und die Folgen des Beschäftigungsverhältnisses<br />
erforderlich ist. Die spezielleren Regelungen in den §§ 32e bis 32i gehen vor.<br />
Bei den in den Nummern 1 bis 3 genannten Regelbeispielen ist vom Vorliegen der<br />
Voraussetzungen des Satzes 1 auszugehen.<br />
Gesetzliche (Nummer 1) oder gegenüber dem Beschäftigten bestehende vertragliche<br />
und gesetzliche (Nummer 2) Pflichten können beispielsweise im Rahmen der Personalverwaltung<br />
oder der Lohn- und Gehaltsabrechnung bestehen. Nummer 3 knüpft<br />
eine zulässige Erhebung von Beschäftigtendaten an die im Beschäftigungsverhältnis<br />
bestehenden Arbeitgeberrechte. Dabei kann es sich um die Ausübung des Weisungsrechts<br />
oder die Leistungs- oder Verhaltenskontrolle des Beschäftigten sowie<br />
um die Personal- oder Organisationsplanung handeln.<br />
Die entsprechende Geltung des § 32 Absatz 6 betont die Grundsätze der Direkterhebung<br />
und der Transparenz auch für das bestehende Beschäftigungsverhältnis. Der<br />
Verweis auf § 32 Absatz 2 Satz 2 stellt klar, dass auch im bestehenden Beschäftigungsverhältnis<br />
die Vorschriften des BZRG unberührt bleiben.<br />
Neben den in Absatz 1 genannten sind die Voraussetzungen des Absatzes 4 zu berücksichtigen.<br />
Zu Absatz 2<br />
Absatz 2 stellt klar, dass die Voraussetzungen des § 32 Absatz 2bis 5 auch bei der<br />
Feststellung der fachlichen Eignung für eine Veränderung der zu leistenden Tätigkeit<br />
oder des Arbeitsplatzes hinsichtlich der hierfür erstmals zu erhebenden <strong>Daten</strong> entsprechend<br />
anzuwenden ist.<br />
Zu Absatz 3<br />
Absatz 3 begrenzt die Zulässigkeit von ärztlichen Untersuchungen und Eignungstests<br />
eines Beschäftigten auf Verlangen des Arbeitgebers. Sie sind nach Maßgabe<br />
des § 32a zulässig, soweit sie zur Eignungsprüfung des Beschäftigten erforderlich<br />
sind, d. h. die Eignung nicht auf andere, weniger belastende Weise festgestellt werden<br />
kann. Die Eignungsüberprüfung darf nur bei Zweifeln an der fortdauernden Eignung<br />
oder anlässlich eines beabsichtigten Wechsels der Tätigkeit des Beschäftigten
- 16 -<br />
oder seines Arbeitsplatzes erfolgen., Arbeitsmedizinische Vorsorgeuntersuchungen<br />
bleiben von Absatz 3 unberührt und richten sich nach der Verordnung zur arbeitsmedizinischen<br />
Vorsorge.<br />
Zu Absatz 4<br />
Absatz 4 ist identisch mit § 32 Absatz 7.<br />
Zu § 32d (<strong>Daten</strong>verarbeitung und -nutzung im Beschäftigungsverhältnis)<br />
Zu Absatz 1<br />
Absatz 1 bestimmt unter welchen Voraussetzungen der Arbeitgeber Beschäftigtendaten<br />
im Beschäftigungsverhältnis verarbeiten und nutzen darf. Die <strong>Daten</strong> müssen<br />
nach § 32, § 32a oder § 32c erhoben worden und weiterhin für die Erfüllung des konkreten<br />
Erhebungszwecks oder eines anderen nach diesem Unterabschnitt zulässigen<br />
Zwecks im Rahmen des Beschäftigungsverhältnisses erforderlich sein. Die Verarbeitung<br />
und Nutzung der Beschäftigtendaten muss darüber hinaus verhältnismäßig<br />
sein. Die Vorschrift erspart es dem Arbeitgeber, die gleichen Beschäftigtendaten<br />
mehrfach für unterschiedliche Zwecke des Beschäftigungsverhältnisses zu erheben.<br />
Zu Absatz 2<br />
Absatz 2 stellt – wie auch § 32b Absatz 1 Nummer 2, 2. Alternative - klar, dass der<br />
Arbeitgeber auch solche Beschäftigtendaten, die er, <strong>ohne</strong> danach zu fragen, von<br />
dem Beschäftigten selbst erhält oder die ihm auf andere Weise zugetragen werden<br />
oder zur Kenntnis gelangen, <strong>ohne</strong> dass er sie beschafft hat, im Beschäftigungsverhältnis<br />
nicht uneingeschränkt verarbeiten und nutzen darf. Vielmehr ist das Verarbeiten<br />
und Nutzen nur zulässig, soweit der Arbeitgeber die <strong>Daten</strong> nach den §§ 32, 32a<br />
oder 32c hätte erheben dürfen, und die Verarbeitung oder Nutzung für die Durchführung,<br />
Beendigung oder Abwicklung des Beschäftigungsverhältnisses erforderlich sowie<br />
nach Art und Ausmaß im Hinblick auf den Zweck verhältnismäßig ist. Sobald eine<br />
Speicherung dieser <strong>Daten</strong> erfolgt ist, ist der Beschäftigte nach § 33 zu benachrichtigen.<br />
Zu Absatz 3<br />
Absatz 3 regelt, für welche Zwecke und in welcher Form der Arbeitgeber einen automatisierten<br />
Abgleich von für andere Zwecke des Beschäftigungsverhältnisses erho-<br />
113
114<br />
- 17 -<br />
benen, mithin bei ihm vorhandenen Beschäftigtendaten, mit von ihm geführten Dateien<br />
durchführen darf. Der Abgleich ist nur zulässig zur Aufdeckung von Straftaten<br />
oder anderen schwerwiegenden Pflichtverletzungen durch den Beschäftigten im Beschäftigungsverhältnis.<br />
Eine schwerwiegende Pflichtverletzung kann auch z. B. die<br />
Begehung einer Ordnungswidrigkeit im Beschäftigungsverhältnis sein, wenn diese<br />
von entsprechender Erheblichkeit ist. Die Regelbeispiele machen deutlich, dass Absatz<br />
3 eine Grundlage für die Korruptionsbekämpfung und die Durchsetzung von<br />
Compliance-Anforderungen darstellt. Compliance bedeutet in diesem Zusammenhang<br />
die Einhaltung aller relevanten Gesetze, Verordnungen, Richtlinien und Selbstverpflichtungen<br />
durch ein Unternehmen als Ganzes. Entsprechende Anforderungen<br />
ergeben sich z.B. für die Kreditwirtschaft unter anderem aus dem Kreditwesengesetz<br />
und dem Geldwäschegesetz. Der <strong>Daten</strong>abgleich ist nicht zur Aufdeckung jeder, sondern<br />
nur einer schwerwiegenden Pflichtverletzung, die in ihrer Gewichtigkeit den Regelbeispielen<br />
nahe kommt, gerechtfertigt. Dieser Maßstab gilt auch für die Straftaten.<br />
Diese müssen zudem, wie die Pflichtverletzung, im Zusammenhang mit dem Beschäftigungsverhältnis<br />
begangen worden sein. Im Sinne des in § 3a normierten<br />
Grundsatzes der <strong>Daten</strong>vermeidung und <strong>Daten</strong>sparsamkeit dürfen die Beschäftigtendaten<br />
zunächst nur in anonymisierter oder pseudonymisierter Form für den Abgleich<br />
genutzt werden. Erst wenn sich aus dem Abgleich ein Verdacht ergibt, dürfen die<br />
hiervon betroffenen <strong>Daten</strong> personalisiert werden. Dem Transparenzgebot wird durch<br />
die Dokumentations- und Unterrichtungspflicht des Arbeitgebers Rechnung getragen.<br />
Zu Absatz 4<br />
Das Übermitteln von Beschäftigtendaten an Dritte unterliegt nach Absatz 4 einer auf<br />
das Beschäftigungsverhältnis beschränkten Zweckbindung.<br />
Das Verarbeiten oder Nutzen von Beschäftigtendaten für Zwecke, die außerhalb des<br />
Beschäftigungsverhältnisses liegen, richtet sich nach den Vorschriften außerhalb des<br />
zweiten Unterabschnittes des dritten Abschnitts. Hierzu zählen insbesondere zweckändernde<br />
Übermittlungen.<br />
Zu Absatz 5<br />
Absatz 5 stellt eine zum <strong>Schutz</strong> des Rechts auf informationelle Selbstbestimmung<br />
der Beschäftigten erforderliche Flankierung der Regelungen über die Erhebung und<br />
Verwendung von Beschäftigtendaten dar.
- 18 -<br />
Zu § 32e (<strong>Daten</strong>erhebung <strong>ohne</strong> Kenntnis des Beschäftigten zur Aufdeckung<br />
und Verhinderung von Straftaten und anderen schwerwiegenden Pflichtverletzungen<br />
im Beschäftigungsverhältnis)<br />
Zu Absatz 1<br />
Absatz 1 regelt den Grundsatz, dass der Arbeitgeber Beschäftigtendaten nur mit<br />
Kenntnis des Beschäftigten erheben darf. Dieser Grundsatz ergänzt für den Beschäftigtendatenschutz<br />
die in § 4 getroffenen allgemeinen Regelungen zur Zulässigkeit<br />
der <strong>Daten</strong>erhebung, -verarbeitung und -nutzung. Ohne Kenntnis des Beschäftigten<br />
darf der Arbeitgeber somit nur in den besonders geregelten Fällen personenbezogene<br />
<strong>Daten</strong> des Beschäftigten erheben.<br />
Zu Absatz 2<br />
Zur Aufdeckung von Straftaten und anderen schwerwiegenden Pflichtverletzungen<br />
im Beschäftigungsverhältnis darf der Arbeitgeber <strong>ohne</strong> Kenntnis des Beschäftigten<br />
personenbezogene <strong>Daten</strong> nur nach dieser Vorschrift erheben, sofern keine spezielleren<br />
Regelungen bestehen (z.B. zur Videoüberwachung). Unter schwerwiegenden<br />
Pflichtverletzungen sind solche zu verstehen, die den Arbeitgeber bei einem Arbeitnehmer<br />
zu einer Kündigung aus wichtigem Grund nach § 626 BGB berechtigen würden.<br />
Darunter kann auch z. B. die Begehung einer Ordnungswidrigkeit im Beschäftigungsverhältnis<br />
fallen, wenn sie von entsprechender Erheblichkeit ist. Voraussetzung<br />
für eine <strong>Daten</strong>erhebung <strong>ohne</strong> Kenntnis des Beschäftigten ist zudem, dass Tatsachen<br />
vorliegen, die einen Verdacht gegen einen oder mehrere Beschäftigte begründen.<br />
Der Verdacht muss sich nicht auf einen bestimmten Beschäftigten beziehen, sondern<br />
kann sich auch gegen eine Gruppe von Beschäftigten richten. In diesem Fall ist jeder,<br />
der zu der Gruppe gehört, betroffen. Die Erhebung muss zur Aufdeckung der<br />
Straftaten oder anderen schwerwiegenden Pflichtverletzungen, auf die sich der Verdacht<br />
bezieht oder zur Verhinderung weiterer damit im Zusammenhang stehender<br />
Straftaten oder schwerwiegender Pflichtverletzungen des Beschäftigten erforderlich<br />
sein. Zur Verhinderung kann die <strong>Daten</strong>erhebung z. B. erforderlich sein, um systematische<br />
Strukturen, auf deren Grundlage breit angelegte Korruption betrieben bzw.<br />
abgewickelt wird (etwa ein Geflecht von Gesellschaften, über die versteckte Zahlungen<br />
erfolgen), aufzubrechen und damit diesen Weg für weitere Taten zu versperren.<br />
115
116<br />
Zu Absatz 3<br />
- 19 -<br />
Absatz 3 differenziert für den Fall der <strong>Daten</strong>erhebung <strong>ohne</strong> Kenntnis des Beschäftigten<br />
den Grundsatz der Verhältnismäßigkeit näher aus. Nach der Subsidiaritätsklausel<br />
des Satzes 2 ist die Erhebung nach Absatz 2 nur zulässig, wenn die Erforschung des<br />
Sachverhalts auf andere Weise weniger erfolgversprechend oder erschwert wäre. Ist<br />
erkennbar, dass der verfolgte Zweck nicht erreicht werden kann, ist die <strong>Daten</strong>erhebung<br />
zu beenden; kann der Zweck vorübergehend nicht erreicht werden, muss die<br />
<strong>Daten</strong>erhebung unterbrochen werden. Auch in zeitlicher Hinsicht darf die <strong>Daten</strong>erhebung<br />
nach Absatz 2 das unbedingt nötige Maß nicht überschreiten. Die Vorschrift<br />
betrifft auch <strong>Daten</strong>erhebungen, für die sich der Arbeitgeber Dritter bedient (z.B. Privatdetektiv).<br />
Zu Absatz 4<br />
Absatz 4 schränkt das zeitliche Ausmaß sowie die Mittel der <strong>Daten</strong>erhebung nach<br />
Absatz 2 ein. Eine planmäßig angelegte Beobachtung darf, unabhängig von den eingesetzten<br />
Mitteln, nicht länger als 24 Stunden <strong>ohne</strong> Unterbrechung oder an mehr als<br />
4 Tagen, bezogen auf die konkrete Maßnahme, stattfinden. Unabhängig von dem<br />
zeitlichen Ausmaß dürfen technische Mittel zum Abhören oder Aufzeichnen des nicht<br />
öffentlich gesprochenen Wortes oder sonstige besondere, zur Beobachtung bestimmte<br />
technische Mittel nicht eingesetzt werden. Hiervon ausgenommen sind<br />
Ferngläser und Fotoapparate; das bedeutet, dass z.B. Videokameras nicht eingesetzt<br />
werden dürfen. Eine heimliche Videoüberwachung ist daher unzulässig.<br />
Zu Absatz 5<br />
Satz 1 regelt die Zweckbindung der nach Absatz 2 erhobenen <strong>Daten</strong>. Darüber hinaus<br />
sind die den Verdacht begründenden Tatsachen vor Beginn der <strong>Daten</strong>erhebung und<br />
die näheren Umstände der <strong>Daten</strong>erhebung unverzüglich danach schriftlich festzuhalten.<br />
Wenn eine automatisierte Verarbeitung der <strong>Daten</strong> erfolgen soll, unterliegt diese<br />
der vorherigen Kontrolle des betrieblichen <strong>Daten</strong>schutzbeauftragten nach § 4d Absatz<br />
5. Satz 4 stellt eine deklaratorische Rechtsgrundverweisung dar. Der Arbeitgeber<br />
hat den Beschäftigten über eine <strong>ohne</strong> dessen Kenntnis erfolgte <strong>Daten</strong>erhebung<br />
nach Absatz 2 sowie über eine Verarbeitung und Nutzung dieser <strong>Daten</strong> zu unterrichten,<br />
sobald die Unterrichtung den Zweck (z.B. Aufdeckung einer Straftat) nicht mehr<br />
gefährdet.
Zu Absatz 6<br />
- 20 -<br />
Die in Absatz 6 geregelte Löschung der durch <strong>ohne</strong> Kenntnis des Beschäftigten erhobenen<br />
<strong>Daten</strong> ist davon abhängig, ob sie zur Erreichung des Zwecks noch erforderlich<br />
ist und ob schutzwürdige Interessen der Beschäftigten einer weiteren Speicherung<br />
entgegenstehen. Zum Zweck der Speicherung kann im Einzelfall auch eine spätere<br />
arbeitsgerichtliche Auseinandersetzung zählen. Darüber hinaus begründen die<br />
Sätze 2 bis 4 eine Dokumentationspflicht hinsichtlich des Grundes der Speicherung<br />
und der Löschung, eine Zweckbindung der Verwendung der Dokumentation sowie<br />
eine Löschungspflicht.<br />
Zu Absatz 7<br />
Absatz 7 enthält eine <strong>Schutz</strong>vorschrift für den Kernbereich der privaten Lebensgestaltung<br />
der Beschäftigten. Die diesen Kernbereich betreffenden <strong>Daten</strong> dürfen nicht<br />
erhoben, verarbeitet oder genutzt werden. Für den Fall, dass dies dennoch erfolgt,<br />
sind sie unverzüglich zu löschen.<br />
Zu § 32f (Beobachtung nicht öffentlich zugänglicher Betriebsstätten mit optisch-elektronischen<br />
Einrichtungen)<br />
Die Beobachtung mit optisch-elektronischen Einrichtungen in nicht öffentlich zugänglichen<br />
Bereichen des Betriebs erhält eine eigenständige gesetzliche Grundlage, die<br />
der Wahrung des allgemeinen Persönlichkeitsrechts des Beschäftigten und dem<br />
Recht am eigenen Bild im Verhältnis zum Arbeitgeberinteresse Rechnung trägt. Nicht<br />
öffentlich zugängliche Betriebsstätten sind solche, die nach dem erkennbaren Willen<br />
des Berechtigten nicht von jedermann betreten oder genutzt werden können. Nach<br />
dem Grundsatz des § 1 Absatz 3 gehen andere bereichsspezifische Regelungen zu<br />
Videoüberwachungen den hier getroffenen Regelungen vor, auch wenn Beschäftigtendaten<br />
betroffen werden.<br />
Zu Absatz 1<br />
Absatz 1 Satz 1 normiert in Abgrenzung zu § 6b, der die Videoüberwachung in öffentlich<br />
zugänglichen Räumen regelt, ausschließlich die Beobachtung in nicht öffentlich<br />
zugänglichen Betriebsgeländen, Betriebsgebäuden oder Betriebsräumen, wobei<br />
in diesem Zusammenhang Beschäftigtendaten gezielt oder zufällig mit erfasst werden<br />
können. Zum <strong>Schutz</strong> der Beschäftigten ist die Videobeobachtung jedoch nur im<br />
Zusammenhang mit dem Vorliegen von wichtigen betrieblichen Interessen und einer<br />
117
118<br />
- 21 -<br />
darüber hinaus gehenden Interessenabwägung zulässig. <strong>Schutz</strong>würdige Interessen<br />
der Betroffenen stehen einer Videoüberwachung in Betriebsräumen der Interessenvertretungen<br />
regelmäßig entgegen. Wichtige betriebliche Interessen sind nur in den<br />
genannten Fällen anzunehmen. Nummer 3 bezieht sich auf das Eigentum sowohl<br />
des Arbeitgebers, von Beschäftigten als auch Dritter, z. B. Kunden oder Vertragspartner<br />
des Arbeitgebers.<br />
Hinsichtlich der Verarbeitung und Nutzung der erhobenen <strong>Daten</strong> sowie der Benachrichtigung<br />
von Betroffenen gelten die Regelungen des § 6b Absätze 3 und 4 entsprechend.<br />
Der Arbeitgeber hat aus Gründen der Transparenz für die Beschäftigten die Beobachtung<br />
durch geeignete Maßnahmen wie beispielsweise deutlich sichtbare Hinweisschilder<br />
erkennbar zu machen.<br />
Da bereits eine nicht funktionsfähige oder ausgeschaltete Kamera sowie eine Einrichtung,<br />
die nur wie eine Kamera aussieht, zu Verhaltensänderungen der Beschäftigten<br />
führen können, gelten die oben genannten Voraussetzungen auch für Einrichtungen,<br />
die für die Videoüberwachung geeignet erscheinen.<br />
Zu Absatz 2<br />
Absatz 2 stellt klar, dass Betriebsräume, die einem Beschäftigten als privater Rückzugsraum<br />
zur Verfügung gestellt werden, nicht überwacht werden dürfen. Dies gilt<br />
insbesondere für Sanitär-, Umkleide- und Schlafräume. Ein Raucherzimmer, das von<br />
einer Vielzahl von Beschäftigten genutzt werden kann, wird von der Vorschrift nicht<br />
erfasst, da es insofern an der Vergleichbarkeit mit einem individuellen Rückzugsraum<br />
eines Beschäftigten mangelt.<br />
Zu Absatz 3<br />
Die Speicherung bzw. das Löschen der durch die Videoüberwachung erhobenen <strong>Daten</strong><br />
regelt Absatz 3 und ist davon abhängig, ob die Speicherung zur Erreichung des<br />
Zwecks noch erforderlich ist und ob schutzwürdige Interessen des Beschäftigten einer<br />
weiteren Speicherung entgegenstehen. Zum Zweck der Speicherung kann im<br />
Einzelfall auch eine spätere arbeitsgerichtliche Auseinandersetzung zählen.
Zu § 32g (Ortungssysteme)<br />
Zu Absatz 1<br />
- 22 -<br />
Absatz 1 regelt die Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten<br />
durch Ortungssysteme, mit deren Hilfe der geographische Standort eines Beschäftigten<br />
bestimmt werden kann, zum Beispiel über das Global Positioning System (GPS).<br />
Ortungen sind technisch über Handys und in Fahrzeuge eingebaute Sender möglich.<br />
Die Ortung ist nur zulässig, wenn sie aus betrieblichen Gründen zur Sicherheit des<br />
Beschäftigten oder zur Koordinierung seines Einsatzes erforderlich ist und schutzwürdige<br />
Interessen des Beschäftigten am Ausschluss der <strong>Daten</strong>erhebung, -<br />
verarbeitung oder -nutzung nicht überwiegen. Arbeitgebern ist die Ortung von Beschäftigten<br />
nach der Vorschrift nur während der Arbeits- oder Bereitschaftszeiten,<br />
d.h. nicht während der Freizeit oder im Urlaub erlaubt. Ist dem Beschäftigten etwa die<br />
private Nutzung seines Dienstwagens gestattet, darf eine Ortung über ein im Fahrzeug<br />
eingebautes Ortungssystem während der privaten Nutzung nicht erfolgen.<br />
Eine heimliche Ortung von Beschäftigten ist nicht zulässig. Um die erforderliche<br />
Transparenz für die Beschäftigten herzustellen, hat der Arbeitgeber den Einsatz eines<br />
Ortungssystems durch geeignete Maßnahmen erkennbar zu machen und die<br />
Beschäftigten darüber zu informieren, wie er die Ortungsdaten nutzt. Die erhobenen<br />
Beschäftigtendaten unterliegen einer strengen Zweckbindung.<br />
Nach dem Grundsatz des § 1 Absatz 3 gehen andere bereichsspezifische Regelungen<br />
zum Einsatz von Ortungssystemen, wie etwa solche, die der Navigation und Kollisionsvermeidung<br />
oder der Mauterhebung dienen, den hier getroffenen Regelungen<br />
vor, auch wenn sie zugleich Beschäftigtendaten betreffen.<br />
Zu Absatz 2<br />
Nach Absatz 2 darf der Arbeitgeber Ortungssysteme auch zum <strong>Schutz</strong> der Arbeitsmittel<br />
und der sonstigen beweglichen Sachen, die sich in der Obhut des Beschäftigten<br />
befinden, z. B. der Fracht, einsetzen. In diesem Fall sind nicht die Voraussetzungen<br />
des Absatzes 1 zu erfüllen, da vorrangig Sachwerte geschützt werden sollen.<br />
Allerdings darf keine personenbezogene Ortung erfolgen, während der Beschäftigte<br />
die Sache ordnungsgemäß nutzt oder sie sich in seiner Obhut befindet. Ein typischer<br />
Anwendungsfall könnte der Diebstahlsschutz von Baumaschinen oder Lastkraftwagen<br />
sein.<br />
119
120<br />
Zu Absatz 3<br />
- 23 -<br />
Absatz 3 regelt die Löschung der nach den Absätzen 1 und 2 erhobenen Beschäftigtendaten.<br />
Zu § 32h (Biometrische Verfahren)<br />
Zu Absatz 1<br />
Die Vorschrift regelt, dass die elektronische Erhebung, Verarbeitung und Nutzung<br />
biometrischer Merkmale eines Beschäftigten nur aus betrieblichen Gründen zu Autorisierungs-<br />
und Authentifikationszwecken zulässig ist.<br />
Biometrische Merkmale im Sinne der Vorschrift sind u.a. Fingerabdruck (Fingerlinienbild),<br />
Handgeometrie, Iris (Regenbogenhaut des Auges), Retina (Netzhaut), Gesichtsgeometrie,<br />
Stimmmerkmale.<br />
Autorisierung bedeutet zum Beispiel in der Informationstechnologie die Zuweisung<br />
und Überprüfung von Zugriffsrechten auf <strong>Daten</strong> und Dienste an den Nutzer des Systems.<br />
Häufig erfolgt eine Autorisierung nach einer erfolgreichen Authentifizierung.<br />
Die Authentifizierung ist der Nachweis einer bestimmten Eigenschaft, etwa ein bestimmter<br />
Beschäftigter zu sein. Durch die Authentifizierung wird die Identität einer<br />
Person festgestellt.<br />
Eine Zweckänderung erhobener biometrischer <strong>Daten</strong> ist nur im Hinblick auf Lichtbilder<br />
und auch dann nur mit Einwilligung des Beschäftigten zulässig.<br />
Zu Absatz 2<br />
Absatz 2 regelt die Löschung der nach Absatz 1 erhobenen Beschäftigtendaten.<br />
Zu § 32i (Nutzung von Telekommunikationsdiensten)<br />
Zu Absatz 1<br />
Absatz 1 regelt den Umgang mit den <strong>Daten</strong> der Nutzung von Telekommunikationsdiensten<br />
durch den Beschäftigten wenn diese Nutzung nur zu beruflichen oder<br />
dienstlichen Zwecken erlaubt ist. Es handelt sich um <strong>Daten</strong>, die bei der Erbringung<br />
eines Telekommunikationsdienstes im Sinne des § 3 Nummer 30 Telekommunikationsgesetz<br />
erhoben, verarbeitet oder genutzt werden. Hierzu zählen zum Beispiel die<br />
Nummer oder Kennung der beteiligten Anschlüsse, der Beginn und das Ende der
- 24 -<br />
jeweiligen Verbindung nach Datum und Uhrzeit, sowie die übermittelten <strong>Daten</strong>mengen.<br />
Der Arbeitgeber darf diese <strong>Daten</strong> nur erheben, verarbeiten und nutzen, soweit<br />
keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen des Beschäftigten<br />
am Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegen. Solche<br />
schutzwürdigen Interessen können etwa dann vorliegen, wenn der Arbeitgeber bereits<br />
anhand der <strong>Daten</strong> Sachverhalte erkennen kann, die einer berufsbezogenen<br />
oder sonstigen gesetzlichen Schweigepflicht unterfallen. Dies kann zum Beispiel der<br />
Fall sein, wenn bestimmte Anschlüsse für eine unternehmensinterne psychologische<br />
Beratungen genutzt werden und anhand der erhobenen <strong>Daten</strong> dieses Anschlusses<br />
erkennbar wird, welche Beschäftigten psychologische Hilfe in Anspruch nehmen.<br />
<strong>Schutz</strong>würdige Belange des Beschäftigten am Ausschluss der Kenntnisnahme des<br />
Inhalts seiner Kommunikationsnutzung durch den Arbeitgeber können auch dann<br />
bestehen, wenn es sich erkennbar um private Inhalte handelt. <strong>Schutz</strong>würdige Interessen<br />
des Beschäftigten überwiegen regelmäßig bei der Kommunikation der Beschäftigten<br />
mit ihren Interessenvertretungen wie z.B. dem Betriebsrat, dem Personalrat,<br />
der Jugend- und Auszubildenenvertretung, der Schwerbehindertenvertretung<br />
oder Gleichstellungsbeauftragten.<br />
Die Erhebung, Verarbeitung und Nutzung der <strong>Daten</strong>, muss darüber hinaus erforderlich<br />
sein, um einem der unter den Nummern 1 bis 3 genannten Zwecke zu dienen.<br />
Nummer 1 betrifft die Sicherstellung des ordnungsgemäßen technischen Betriebs<br />
von Telekommunikationsnetzen oder Telekommunikationsdiensten, einschließlich<br />
der <strong>Daten</strong>sicherheit. Die Kenntnis der <strong>Daten</strong> kann den Arbeitgeber in die Lage versetzen,<br />
Schäden von seinen Anlagen abzuhalten und die Sicherheit der darin verarbeiteten<br />
<strong>Daten</strong> zu gewährleisten.<br />
Nummer 2 betrifft insbesondere den Fall, dass die <strong>Daten</strong> erforderlich sind, um angefallene<br />
Entgelte bestimmten Anschlüssen oder Beschäftigten zuordnen zu können.<br />
Nummer 3 stellt klar, dass der Arbeitgeber die <strong>Daten</strong> auch auswerten darf, um zum<br />
Beispiel feststellen zu können, ob Telefonate tatsächlich nur zu beruflichen oder<br />
dienstlichen Zwecken erfolgt sind. Die Überprüfung der <strong>Daten</strong> kann auch ein taugliches<br />
Mittel für den Arbeitgeber sein, um Vertragsverletzungen zu seinen Lasten,<br />
Ordnungswidrigkeiten oder Straftaten zu verhindern oder aufzuklären.<br />
Sofern <strong>Daten</strong> zu einer stichprobenartigen oder anlassbezogenen Leistungs- oder<br />
Verhaltenskontrolle (Nummer 3) erhoben und einem bestimmten Beschäftigten zugeordnet<br />
werden, ist dieser durch den Arbeitgeber über die Verarbeitung und Nutzung<br />
der <strong>Daten</strong> zu unterrichten, sobald die Leistungs- oder Verhaltenskontrolle dadurch<br />
nicht mehr gefährdet wird.<br />
121
122<br />
Zu Absatz 2<br />
- 25 -<br />
Absatz 2 befasst sich mit der Erhebung, Verarbeitung und Nutzung von Inhalten einer<br />
nur zu beruflichen oder dienstlichen Zwecken erlaubten Nutzung von Telefondiensten.<br />
Telefondienste im Sinne dieser Vorschrift sind Dienste für das Führen von<br />
Inlands- und Auslandsgesprächen (vgl. § 3 Nummer 17 Telekommunikationsgesetz).<br />
Erfasst wird nicht nur die Nutzung von Telefonnetzen, sondern auch die Nutzung anderer<br />
sprachgestützter Kommunikationsangebote, wie Telefonieren über das Internet<br />
(Voice over Internet Protocol - VoIP). Inhalte einer sprachlichen Kommunikation werden<br />
wegen ihrer erhöhten <strong>Schutz</strong>bedürftigkeit anders als die Inhalte schriftbasierter<br />
Arten der Telekommunikation behandelt. Erfasst wird durch Absatz 2 allein der Inhalt<br />
eines laufenden Kommunikationsvorgangs, nicht aber dessen nähere Umstände.<br />
Der Arbeitgeber darf die Inhalte einer nach Satz 1 erlaubten Nutzung von Telefondiensten<br />
nur erheben, verarbeiten und nutzen, sofern er hierzu ein berechtigtes Interesse<br />
hat – hierzu gehört auch die Gewährleistung des ordnungsgemäßen Betriebs<br />
von Telekommunikationsnetzen und Telekommunikationsdiensten, einschließlich der<br />
<strong>Daten</strong>sicherheit - und sowohl der Beschäftigte als auch seine Kommunikationspartner<br />
vorher in die <strong>Daten</strong>erhebung, -verarbeitung oder -nutzung durch den Arbeitgeber<br />
eingewilligt haben und über das Tätigwerden des Arbeitgebers auch konkret unterrichtet<br />
worden sind. Ein berechtigtes Interesse des Arbeitgebers liegt regelmäßig<br />
nicht vor bei Gesprächen der Beschäftigten mit ihren Interessenvertretungen. Eine<br />
Einwilligung des Kommunikationspartners liegt vor, wenn er nach der Unterrichtung<br />
das Telefonat fortsetzt. Ein heimliches Mithören von Telefonaten ist dem Arbeitgeber<br />
damit in den Fällen des Satzes 1 untersagt.<br />
Satz 2 betrifft den Sonderfall, dass die Nutzung von Telefondiensten wesentlicher<br />
Inhalt der geschuldeten Arbeitsleistung des Beschäftigten ist (z.B. Callcenter). Es<br />
erscheint sachgerecht, dass der Arbeitgeber in solchen Fällen die Möglichkeit hat,<br />
die Arbeitsleistung seines Beschäftigten <strong>ohne</strong> dessen konkretes Wissen im Einzelfall<br />
stichprobenhaft oder anlassbezogen authentisch zur Kenntnis nehmen zu können.<br />
Da lediglich eine stichprobenartige oder anlassbezogene Erhebung, Verarbeitung<br />
und Nutzung der Inhaltsdaten zulässig ist, ist eine lückenlose Kontrolle des Beschäftigten<br />
ausgeschlossen. Der Beschäftigte muss nach Satz 2 zudem vorab über die<br />
Möglichkeit z.B. des Mithörens durch den Arbeitgeber in einem eingegrenzten Zeitraum<br />
informiert sein. Gleiches gilt für seine Kommunikationspartner, die darüber hinaus<br />
darin eingewilligt haben müssen.
- 26 -<br />
Macht der Arbeitgeber von der Befugnis nach Satz 2 Gebrauch, hat er den Beschäftigten<br />
unverzüglich, d. h. <strong>ohne</strong> schuldhaftes Zögern, nachträglich darüber zu unterrichten,<br />
Eine stichprobenartige oder anlassbezogene Leistungs- oder Verhaltenskontrolle<br />
ist nicht möglich bei Gesprächen der Beschäftigten mit ihren Interessenvertretungen.<br />
Inhalte dieser Gespräche dürfen auf der Grundlage des Satzes 2 nicht erhoben<br />
werden.<br />
Zu Absatz 3<br />
Absatz 3 betrifft Inhalte einer ausschließlich zu beruflichen oder dienstlichen Zwecken<br />
erlaubten Nutzung von Telekommunikationsdiensten, die keine Telefondienste<br />
sind. Inhalte einer solchen Kommunikation darf der Arbeitgeber erheben, verarbeiten<br />
und nutzen, sofern es zur Gewährleistung des ordnungsgemäßen Betriebs von Telekommunikationsnetzen<br />
oder Telekommunikationsdiensten, einschließlich der <strong>Daten</strong>sicherheit<br />
oder für eine stichprobenartige oder anlassbezogene Leistungs- oder Verhaltenskontrolle<br />
erforderlich ist und schutzwürdige Interessen des Beschäftigten am<br />
Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegen (vgl. insoweit<br />
die Begründung zu Absatz 1).<br />
Mit Satz 2 wird klargestellt, dass der Arbeitgeber die in Satz 1 genannten <strong>Daten</strong> auch<br />
dann erheben, verarbeiten und nutzen darf, wenn dies für den ordnungsgemäßen<br />
Geschäftsbetrieb des Arbeitgebers in den Fällen einer Versetzung, Abordnung oder<br />
Abwesenheit erforderlich ist, sofern keine schutzwürdigen Interessen des Beschäftigten<br />
am Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegen. Sofern<br />
der Arbeitgeber <strong>ohne</strong> Kenntnis des Beschäftigten <strong>Daten</strong> erhebt, verarbeitet oder<br />
nutzt, um eine stichprobenartige oder anlassbezogene Verhaltens- oder Leistungskontrolle<br />
durchzuführen, darf er dies nur nach den Maßgaben des § 32e.<br />
Zu Absatz 4<br />
Während die Absätze 1 bis 3 den andauernden Telekommunikationsvorgang betreffen,<br />
betrifft Absatz 4 den Umgang mit den <strong>Daten</strong> und Inhalten einer abgeschlossenen<br />
Telekommunikation. Die Unterscheidung zu den Absätzen 1 bis 3 ist erforderlich, da<br />
mit Telekommunikation nach § 3 Nummer 22 des Telekommunikationsgesetzes der<br />
technische Vorgang des Aussendens, Übermittelns und Empfangens von Signalen<br />
mittels Telekommunikationsanlagen bezeichnet wird. Die Telekommunikation ist somit<br />
mit dem Empfang der übermittelten Signale abgeschlossen. Die Inhalte und Verbindungsdaten<br />
der abgeschlossenen Telekommunikation eines Beschäftigten, etwa<br />
die auf dem Arbeitsplatzcomputer eingegangenen E-Mails, dürfen nach Absatz 4<br />
vom Arbeitgeber gemäß den §§ 32c und 32d erhoben, verarbeitet und genutzt wer-<br />
123
124<br />
- 27 -<br />
den. Das bedeutet, dass die Erhebung erforderlich sein muss für die Durchführung,<br />
Beendigung oder Abwicklung des Beschäftigungsverhältnisses. Dieses ist z. B. der<br />
Fall, wenn wegen der Abwesenheit des Beschäftigten die dienstlichen oder beruflichen<br />
E-Mails von dem Vertreter des Beschäftigten oder dem Arbeitgeber selbst weiter<br />
bearbeitet werden müssen. Der Arbeitgeber darf die Inhalte und weiteren <strong>Daten</strong><br />
der abgeschlossenen Telekommunikation allerdings nur erheben, verarbeiten und<br />
nutzen, und somit zur Kenntnis nehmen, sofern es sich nicht um erkennbar private<br />
Inhalte handelt. Die Erhebung, Verarbeitung und Nutzung privater Inhalte und <strong>Daten</strong><br />
der abgeschlossenen Kommunikation eines Beschäftigten ist nur zulässig, wenn dies<br />
zur Durchführung des ordnungsgemäßen Geschäftsbetriebes unerlässlich ist. Das ist<br />
z. B der Fall, wenn bei Erkrankung des Beschäftigten seine elektronische Post<br />
zwecks weiterer Bearbeitung der dienstlichen E-Mails gesichtet werden muss.<br />
Weitere Voraussetzung ist, dass der Arbeitgeber den Beschäftigten hierauf schriftlich<br />
hingewiesen hat. Die Kenntnisnahme der Kommunikationsinhalte der Beschäftigten<br />
mit ihren Interessenvertretungen ist auf der Grundlage des Absatzes 4 nicht zulässig,<br />
weil dies zur Durchführung des ordnungsgemäßen Geschäftsbetriebes nicht<br />
notwendig ist.<br />
Zu § 32j (Unterrichtungspflichten)<br />
Die Vorschrift regelt die Benachrichtigungspflicht des Arbeitgebers bei <strong>Daten</strong>pannen.<br />
Satz 1 verpflichtet den Arbeitgeber zur unverzüglichen Mitteilung an die Betroffenen.<br />
Nach Satz 2 ist auch die zuständige Aufsichtsbehörde unverzüglich zu unterrichten,<br />
wenn schwerwiegende Beeinträchtigungen der Rechte oder schutzwürdigen Interessen<br />
der Beschäftigten drohen. Satz 3 bestimmt die entsprechende Geltung des § 42a<br />
Sätze 3 bis 4 und 6.<br />
§ 32k (Änderungen)<br />
Die Vorschrift verpflichtet den Arbeitgeber grundsätzlich, Dritten, an die er Beschäftigtendaten<br />
übermittelt hat, die Änderung, Löschung oder Sperrung dieser <strong>Daten</strong> unverzüglich<br />
mitzuteilen. Diese Pflicht besteht ausnahmsweise nicht, wenn die Mitteilung<br />
zur Wahrung der schutzwürdigen Interessen der Beschäftigten nicht erforderlich<br />
ist
- 28 -<br />
§ 32l (Einwilligung, Geltung für Dritte, Rechte der Interessenvertretungen,<br />
Beschwerderecht)<br />
Zu Absatz 1<br />
Mit dieser Regelung wird den Besonderheiten des Beschäftigungsverhältnisses und<br />
der Situation der Beschäftigten Rechnung getragen. Abweichend von § 4 Abs. 1<br />
kann die Einwilligung des Beschäftigten nicht generell, sondern nur in den in diesem<br />
Unterabschnitt ausdrücklich bestimmten Fällen die Zulässigkeit der Erhebung, Verarbeitung<br />
oder Nutzung der Beschäftigtendaten begründen.<br />
Zu Absatz 2<br />
Die Regelungen dieses Unterabschnitts gelten auch für Dritte im Sinne von § 3 Absatz<br />
8, die, <strong>ohne</strong> Auftragsdatenverarbeiter zu sein, für den Arbeitgeber tätig sind. Der<br />
Dritte ist für die Einhaltung der datenschutzrechtlichen Vorschriften selbst verantwortlich.<br />
Für Auftragsdatenverarbeiter gilt weiterhin § 11.<br />
Zu Absatz 3<br />
Absatz 3 stellt klar, dass die Rechte der Interessenvertretungen der Beschäftigten<br />
durch die Neuregelungen nicht beeinträchtigt werden. Die Ausübung der Rechte der<br />
Interessenvertretungen bleibt umfassend geschützt. Im Hinblick auf die in den §§ 32<br />
bis 32l enthaltenen Regelungen bleiben die Beteiligungsrechte der Interessenvertretungen<br />
unberührt, insbesondere das Mitbestimmungsrecht des Betriebsrates bei der<br />
Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind,<br />
das Verhalten oder die Leistung der Beschäftigten zu überwachen (§ 87 Absatz 1<br />
Nummer 6 Betriebsverfassungsgesetz). Nicht berührt werden zudem die Erhebung,<br />
Verarbeitung und Nutzung aller für die Ausübung von Beteiligungsrechten der Interessenvertretungen<br />
erforderlichen <strong>Daten</strong> wie zum Beispiel bei Einstellungen und<br />
Kündigungen nach den §§ 99 und 102 Betriebsverfassungsgesetz. Die unbeeinflusste<br />
Wahrnehmung der Rechte der Interessenvertretungen wird durch die Änderungen<br />
des BDSG nicht tangiert.<br />
Andere das Beschäftigungsverhältnis betreffende Verbote der <strong>Daten</strong>erhebung, -<br />
verarbeitung oder -nutzung werden von den Regelungen des zweiten Unterabschnitts<br />
nicht verdrängt. Das BDSG hebt insofern keine anderen <strong>Schutz</strong>rechte auf.<br />
125
126<br />
Zu Absatz 4<br />
- 29 -<br />
Absatz 4 betrifft das Beschwerderecht des Beschäftigten, wenn dieser auf Grund<br />
tatsächlicher Anhaltspunkte den Verdacht hat, dass der Arbeitgeber Beschäftigtendaten<br />
unbefugt erhebt, verarbeitet oder nutzt. In einem solchen Fall hat sich der Beschäftigte<br />
zunächst an den Arbeitgeber selbst zu wenden. Hilft der Arbeitgeber der<br />
Beschwerde nicht <strong>ohne</strong> schuldhaftes Zögern ab, kann sich der Beschäftigte an die<br />
<strong>Daten</strong>schutzaufsichtsbehörde wenden. Durch die Ausübung des Beschwerderechts<br />
dürfen dem Beschäftigten aufgrund des arbeitsrechtlichen Maßregelungsverbots (§<br />
612a BGB) keine Nachteile entstehen.<br />
Zu Absatz 5<br />
Absatz 5 verbietet die Abweichung von den Regelungen des zweiten Unterabschnitts<br />
zu Ungunsten der Beschäftigten. Das Verbot gewährleistet, dass der mit den gesetzlichen<br />
Vorschriften geschaffene <strong>Daten</strong>schutzstandard für Beschäftigte nicht unterschritten<br />
wird. Damit wird nicht ausgeschlossen, dass Tarifverträge, Betriebs- oder<br />
Dienstvereinbarungen die gesetzlichen Regelungen konkretisieren oder Alternativen<br />
gestalten, um jeweiligen betrieblichen Besonderheiten Rechnung zu tragen. Solche<br />
Vereinbarungen sind zulässig, soweit sie von den gesetzlichen Regelungen nicht<br />
zum Nachteil der Beschäftigten abweichen.<br />
Zu Nummer 8<br />
Redaktionelle Änderung.<br />
Zu Nummer 9<br />
Redaktionelle Änderung.<br />
Zu Nummer 10<br />
Mit den Änderungen werden in § 43 die erforderlichen Bußgeldvorschriften eingefügt.<br />
Zu Artikel 2 (Änderung des Bundesverfassungsschutzgesetzes)<br />
Die Änderung in § 27 übernimmt die Formulierung des § 11 BNDG und erfolgt, um<br />
einen Gleichklang zwischen den Dienstegesetzen zu erreichen.
- 30 -<br />
Artikel 2 trägt dem besonderen Sicherheitsbedürfnis des Bundesamtes für Verfassungsschutz<br />
Rechnung, indem <strong>Daten</strong> zum <strong>Schutz</strong> seiner Mitarbeiter, Einrichtungen,<br />
Gegenstände und Quellen gegen sicherheitsgefährdende oder geheimdienstliche<br />
Tätigkeiten, also zur Eigensicherung, erhoben werden dürfen (§ 9 Absatz 1 Satz 1 in<br />
Verbindung mit § 8 Absatz2 Bundesverfassungsschutzgesetz). Die anzuwendenden<br />
Vorschriften des Bundesdatenschutzgesetzes ergeben sich aus § 27 Bundesverfassungsschutzgesetz.<br />
Die neuen Bestimmungen des Beschäftigtendatenschutzes finden grundsätzlich<br />
auch für das Bundesamt für Verfassungsschutz Anwendung.<br />
Die Regelung in dem neuen Satz 2 verfolgt das Ziel, einerseits zwar das Bundesamt<br />
für Verfassungsschutz als Arbeitgeber nicht schlechter zu stellen als andere Arbeitgeber,<br />
und die bestehenden Befugnisse des Bundesamtes für Verfassungsschutz im<br />
Bereich der Eigensicherung zu bewahren, andererseits aber ihm zugleich als Sicherheitsbehörde<br />
keine neuen Befugnisse zu verleihen. Das Bundesamt für Verfassungsschutz<br />
darf daher weiterhin im Bereich der Eigensicherung <strong>Daten</strong> so erheben<br />
und verarbeiten, wie es dies schon bisher nach seinen Rechtsgrundlagen darf und<br />
wird darin durch die neuen Regelungen des Bundesdatenschutzgesetzes nicht eingeschränkt.<br />
Zu Artikel 3 (Änderung des MAD-Gesetzes)<br />
Die Änderung in § 13 übernimmt die Formulierung des § 11 BND-Gesetz und erfolgt,<br />
um einen Gleichklang zwischen den Dienstegesetzen zu erreichen.<br />
Die Formulierung zur Änderung des § 13 MAD-Gesetz in Artikel 3 lehnt sich eng an<br />
die Regelungen zur Änderung des BND-Gesetz in Artikel 4 bzw. zur Änderung des<br />
Bundesverfassungsschutzgesetzes in Artikel 2 an.<br />
Die neuen Bestimmungen des Beschäftigtendatenschutzes finden damit grundsätzlich<br />
auch für den Militärischen Abschirmdienst Anwendung.<br />
Die Regelung in dem neuen Satz 2 verfolgt das Ziel, einerseits zwar den Militärischen<br />
Abschirmdienst als Arbeitgeber nicht schlechter zu stellen, als andere Arbeitgeber,<br />
und die bestehenden Befugnisse des Militärischen Abschirmdienstes im Bereich<br />
der Eigensicherung zu bewahren, andererseits aber ihm zugleich als Sicherheitsbehörde<br />
keine neuen Befugnisse zu verleihen. Der Militärische Abschirmdienst<br />
darf daher weiterhin im Bereich der Eigensicherung <strong>Daten</strong> so erheben und verarbeiten,<br />
wie er es bisher nach seinen Rechtsgrundlagen darf und wird darin durch die<br />
127
128<br />
- 31 -<br />
neuen Regelungen des Bundesdatenschutzgesetzes nicht eingeschränkt.<br />
Zu Artikel 4 (Änderung des BND-Gesetzes)<br />
Artikel 4 trägt dem besonderen Bedürfnis des Bundesnachrichtendienstes (BND)<br />
Rechnung, <strong>Daten</strong> zum <strong>Schutz</strong> seiner Mitarbeiter, Einrichtungen, Gegenstände und<br />
Quellen gegen sicherheitsgefährdende oder geheimdienstliche Tätigkeiten, also zur<br />
Eigensicherung zu erheben, zu verarbeiten und zu nutzen (§ 2 Absatz 1 Nummer 1<br />
BND-Gesetz). Die Befugnis steht unter der grundsätzlichen gesetzlichen Maßgabe,<br />
dass die anzuwendenden Bestimmungen des Bundesdatenschutzgesetzes nicht<br />
entgegenstehen. Die anzuwendenden Bestimmungen des Bundesdatenschutzgesetzes<br />
ergeben sich aus § 11 BND-Gesetz.<br />
So finden nach § 11 BND-Gesetz bislang unter anderem die §§ 13 bis 20 des Bundesdatenschutzgesetzes,<br />
die die <strong>Daten</strong>verarbeitung personenbezogener <strong>Daten</strong> für<br />
öffentliche Stellen regeln, keine Anwendung. Die Nichtanwendbarkeit dieser datenschutzrechtlichen<br />
Regelungen gründet sich auf die besonderen geheimhaltungsbezogenen<br />
Anforderungen der Eigensicherung des Bundesnachrichtendienstes als<br />
Nachrichtendienst. Als Auslandsnachrichtendienst steht er im besonderen Aufklärungsfokus<br />
ausländischer Geheimdienste. Die Geheimhaltung seines Wissens und<br />
seiner Methodik und der <strong>Schutz</strong> seiner Mitarbeiter ist unabdingbare Voraussetzung<br />
seiner Funktionsfähigkeit. Diese Besonderheiten wurden vom historischen Gesetzgeber<br />
in § 11 BND-Gesetz berücksichtigt. Sie besitzen unverändert Gültigkeit.<br />
Die Regelungen zum Beschäftigtendatenschutz nach diesem Gesetz finden grundsätzlich<br />
auch für die Mitarbeiter des Bundesnachrichtendienstes Anwendung. Wird<br />
der Bundesnachrichtendienst zum Zwecke der Eigensicherung tätig, finden die bestehenden<br />
Befugnisse des BND-Gesetzes Anwendung.<br />
Die Regelung in Satz 2 verfolgt das Ziel, einerseits zwar den Bundesnachrichtendienst<br />
als Arbeitgeber nicht schlechter zu stellen, als andere Arbeitgeber, und seine<br />
bestehenden Befugnisse im Bereich der Eigensicherung zu bewahren, andererseits<br />
aber ihm zugleich als Sicherheitsbehörden keine neuen Befugnisse zu verleihen. Der<br />
Bundesnachrichtendienst darf daher weiterhin im Bereich der Eigensicherung <strong>Daten</strong><br />
so erheben und verarbeiten, wie er es schon bisher nach seinen Rechtsgrundlagen<br />
darf und wird darin durch die neuen Regelungen des Bundesdatenschutzgesetzes<br />
nicht eingeschränkt.
- 32 -<br />
Zu Artikel 5 (Änderung des Bundesbeamtengesetzes)<br />
Die §§ 106 bis 115 des Bundesbeamtengesetzes (BBG) enthalten bereichsspezifische<br />
Regelungen für den Umgang mit personenbezogenen <strong>Daten</strong> von Beamtinnen<br />
und Beamten des Bundes. Für den Umgang mit Personalaktendaten im Sinne von<br />
§ 106 Absatz 1 Satz 4 des Bundesbeamtengesetzes soll es zunächst bei der geltenden<br />
Rechtslage bleiben, nach der die eben genannten Vorschriften des Bundesbeamtengesetzes<br />
den entsprechenden Regelungen des Bundesdatenschutzgesetzes<br />
vorgehen. Soweit personenbezogene <strong>Daten</strong> von Beamtinnen und Beamten des Bundes<br />
dagegen nicht zur Personalakte gehören (Sachaktendaten), sollen für den Umgang<br />
mit diesen <strong>Daten</strong> die neuen §§ 32e bis 32l des Bundesdatenschutzgesetzes<br />
gelten. Ob die datenschutzrechtlichen Bestimmungen des Bundesbeamtengesetzes<br />
darüber hinaus an die neuen Bestimmungen zum Beschäftigtendatenschutz im Bundesdatenschutzgesetz<br />
angepasst werden müssen, wird die Bundesregierung in einem<br />
nächsten Schritt prüfen.<br />
Nach § 50 des Beamtenstatusgesetzes (BeamtStG) sind auch für Beamtinnen und<br />
Beamte der Länder Personalakten zu führen. Über § 50 BeamtStG hinausgehende<br />
bundesgesetzliche Vorgaben für die Erhebung und Verwendung personenbezogener<br />
<strong>Daten</strong> von Beamtinnen und Beamten der Länder sind nicht erforderlich.<br />
Zu § 106 Absatz 5 Satz 1<br />
Satz 1 bestimmt, dass für die Erhebung und Verwendung derjenigen personenbezogenen<br />
<strong>Daten</strong> von Beamtinnen und Beamten, die nach § 106 Absatz 1 Satz 4 bis 6<br />
des Bundesbeamtengesetzes materiell Bestandteil der Personalakte sind, ausschließlich<br />
die entsprechenden beamtenrechtlichen Bestimmungen (insbesondere<br />
die §§ 106 bis 115 des Bundesbeamtengesetzes sowie Vorschriften des Bundesdisziplinargesetzes)<br />
anzuwenden sind.<br />
Zu § 106 Absatz 5 Satz 2<br />
Anders als § 106 Absatz 1 bis 3, die §§ 107 bis 109, 110 Absatz 1 bis 3 sowie die §§<br />
111 bis 114 des Bundesbeamtengesetzes sind § 106 Absatz 4 (Erhebung personenbezogener<br />
<strong>Daten</strong>) und § 110 Absatz 4 des Bundesbeamtengesetzes (Einsichtsrecht)<br />
nicht auf Personalaktendaten im Sinne des § 106 Absatz 1 Satz 4 bis 6 des Bundesbeamtengesetzes<br />
beschränkt. Sie gelten auch für personenbezogene <strong>Daten</strong>, die<br />
nicht zu den materiellen Personalaktendaten gehören, sondern Sachaktendaten sind.<br />
Das sind <strong>Daten</strong>, die trotz ihres Bezuges zur Person und dem Dienstverhältnis besonderen,<br />
von der Person und dem Dienstverhältnis sachlich zu trennenden Zwecken<br />
dienen (neben den in § 106 Absatz 1 Satz 6 des Bundesbeamtengesetzes genann-<br />
129
130<br />
- 33 -<br />
ten Prüfungs-, Sicherheits- und Kindergeldakten z. B. Vorgänge zu Stellenbesetzungsverfahren,<br />
zur Ausgabe von Dienstausweisen oder die täglich anfallenden <strong>Daten</strong><br />
im Rahmen der Arbeitszeiterfassung). Für die Verwendung von nach § 106 Absatz<br />
4 des Bundesbeamtengesetzes erhobenen personenbezogenen <strong>Daten</strong> in Sachakten<br />
galten auch bisher schon die Vorschriften des Bundesdatenschutzgesetzesüber<br />
die <strong>Daten</strong>verarbeitung der öffentlichen Stellen, weil das Bundesbeamtengesetz<br />
insoweit keine bereichsspezifischen Regelungen enthält. Für den Umgang mit personenbezogenen<br />
<strong>Daten</strong> von Beamtinnen und Beamten, die keine Personalaktendaten<br />
sind, gelten nunmehr neben § 106 Absatz 4 des Bundesbeamtengesetzes die §§ 32<br />
b, 32d bis 32l des Bundesdatenschutzgesetzes, soweit der Tatbestand des § 12 Absatz<br />
4 des Bundesdatenschutzgesetzes erfüllt ist. Diese Vorschriften sind deshalb<br />
unbeschränkt auch für Beamtinnen und Beamte des Bundes sowie wegen der Verweisung<br />
in § 46 des Deutschen Richtergesetzes auch für die Richterinnen und Richter<br />
des Bundes anwendbar.<br />
Von den in § 106 Absatz 5 Satz 2 in Bezug genommen Vorschriften setzen die §§<br />
32b und 32d des Bundesdatenschutzgesetzes allerdings eine <strong>Daten</strong>erhebung nach<br />
§§ 32, 32a bzw. 32c des Bundesdatenschutzgesetzes voraus. Da bei der Erhebung<br />
personenbezogener <strong>Daten</strong> von Bewerberinnen, Bewerbern, Beamtinnen und Beamten<br />
sowie ehemaliger Beamtinnen und ehemaliger Beamter der § 106 Absatz 4 des<br />
Bundesbeamtengesetzes nach dem Grundsatz des § 1 Absatz 3 des Bundesdatenschutzgesetzes<br />
diesen Vorschriften vorgeht, ordnet § 106 Absatz 5 Satz 2 zweiter<br />
Halbsatz an, dass bei der Anwendung der §§ 32b und 32d des Bundesdatenschutzgesetzes<br />
eine <strong>Daten</strong>erhebung nach § 106 Absatz 4 des Bundesbeamtengesetzes an<br />
die Stelle der §§ 32, 32a oder 32c des Bundesdatenschutzgesetzes tritt.<br />
Zu Artikel 6 (Änderung des Soldatengesetzes)<br />
Der bisherige Satz 2 entfällt in Angleichung an eine entsprechende Änderung des<br />
Bundesbeamtengesetzes durch Artikel 1 des Dienstrechtsneuordnungsgesetzes vom<br />
5. Februar 2009 (BGBl. I S. 160).<br />
Die neuen Sätze 2 und 3 stellen eine Folgeänderung zu Artikel 5 dar. Für das Verhältnis<br />
zwischen Soldatengesetz und Bundesdatenschutzgesetz gelten die Ausführungen<br />
in der Begründung zu Artikel 5 entsprechend.
Zu Artikel 7<br />
- 34 -<br />
Die Vorschrift regelt das Inkrafttreten des Gesetzes.<br />
Dokument: GE Beschäftigtendatenschutz.doc<br />
Stand: 24.08.2010, 09:47 Uhr, BMI-0-15-7<br />
131
132<br />
Stellungnahme<br />
Deutscher<br />
Gewerkschaftsbund<br />
Bundesvorstand<br />
Abteilung Recht<br />
03.09.10<br />
Zum Entwurf eines Gesetzes<br />
zur Regelung des Beschäftigtendatenschutzes
Vorbemerkung:<br />
Die Bundesregierung hat am 25.8. 2010 den Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes<br />
beschlossen. Damit sollen entsprechend dem Koalitionsvertrag mit umfassenden<br />
allgemeingültigen Regelungen für den <strong>Daten</strong>schutz am Arbeitsplatz mehr Rechtssicherheit erreicht<br />
werden.<br />
Dieser Ansatz ist durchaus zu begrüßen. Der Entwurf bleibt aber deutlich hinter dem zurück, was<br />
im Koalitionsvertrag vereinbart war. Dort heißt es: „Wir setzen uns für eine Verbesserung des<br />
Arbeitnehmerdatenschutzes ein und wollen Mitarbeiterinnen und Mitarbeiter vor Bespitzelungen<br />
an ihrem Arbeitsplatz wirksam schützen.“<br />
Diesen Anforderungen wird der Entwurf nicht gerecht. Erforderlich wären klare Begrenzungen<br />
durch gesetzliche Verbote der Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten. Außerdem<br />
fehlen in dem Entwurf Regelungen zu Schadensersatz- und Entschädigungsansprüchen<br />
und ausdrückliche Verwertungsverbote. Richtigerweise hätte dieser Bereich in einem eigenständigen<br />
Gesetz geregelt werden müssen. Durch den vorliegenden Entwurf wird kein effektiver <strong>Daten</strong>schutz<br />
im Beschäftigtenverhältnis gewährleistet werden können. Es fehlt jegliche Transparenz,<br />
denn das BDSG gehört nicht einmal zu den aushangpflichtigen Gesetzen.<br />
Der DGB hat bereits im Dezember 2008 Eckpunkte zu den notwendigen gesetzlichen Regelungen<br />
zum Arbeitnehmerdatenschutz beschlossen. Danach muss Zweck des <strong>Daten</strong>schutzes sein, den<br />
Einzelnen davor zu schützen, dass durch Missbrauch seiner <strong>Daten</strong> eine Beeinträchtigung seines<br />
grundrechtlich geschützten Persönlichkeitsrechts erfolgt. Insbesondere muss die gezielte Beobachtung<br />
und Überwachung von Beschäftigten am Arbeitsplatz, aber auch im privaten Umfeld ausdrücklich<br />
verboten werden. Dazu gehört z.B. auch der Einsatz von Detektiven und sog. Testkäufern. Der<br />
Begriff der Überwachung ist dabei weit zu verstehen, d. h., sowohl Video- und Tonaufnahmen, direktes<br />
Ausspähen, Abgleichen von <strong>Daten</strong> (insbesondere dem persönlichen Bereich zurechenbaren<br />
wie Kontonummer, Postverkehr u. ä.), Kontrolle von Telefongesprächen und bei der Verwendung<br />
moderner Kommunikationsmittel wie E-Mail und Internet, Scannen und das Erstellen von Bewegungsprofilen<br />
mit Hilfe vor Ortungssystemen müssen erfasst werden. Ausnahmen von diesem<br />
grundsätzlichen Verbot dürfen nur für gesetzlich ausdrücklich geregelte Fälle, wenn eine andere<br />
Möglichkeit der Aufklärung, insbesondere die Einschaltung von Polizei und Staatsanwaltschaft<br />
nicht möglich ist, z.B. bei begründetem Verdacht einer strafbaren Handlung oder schwerwiegender<br />
Schädigung des Arbeitgebers oder Gefährdung zugelassen werden. Ebenso muss für diese Fälle<br />
ein Verfahren gesetzlich geregelt werden, das das Zustimmungserfordernis der betrieblichen Interessenvertretung<br />
und, falls diese nicht vorhanden ist, die Einbeziehung einer neutralen Stelle, z. B.<br />
den Landesdatenschutzbeauftragten, sowie Dokumentationspflichten und die Pflicht zum geringstmöglichen<br />
Eingriff festlegt.<br />
Der Grundansatz der Bundesregierung geht in eine völlig andere Richtung. Vorgesehen ist, den<br />
<strong>Daten</strong>schutz vor allem dem Interesse der Unternehmen an Korruptionsbekämpfung und zur Einhaltung<br />
von Compliance-Anforderungen unterzuordnen. Dies führt nicht zu mehr, sondern zu weniger<br />
<strong>Daten</strong>schutz. Dieser Ansatz eröffnet die Möglichkeit, weitgehend den <strong>Daten</strong>schutz auszuhebeln mit<br />
der Begründung, pflichtwidriges Verhalten aufdecken zu wollen. Damit wird das bestehende<br />
<strong>Schutz</strong>niveau erheblich unterschritten. Dies entspricht exakt den Forderungen, die die Arbeitgeberverbände<br />
seit Jahren in der Diskussion um den <strong>Daten</strong>schutz immer wieder erheben. Hinzu kommt,<br />
dass der Begriff Compliance nicht gesetzlich definiert ist und sehr weitgehende Möglichkeiten des<br />
133
134<br />
Arbeitgebers beinhaltet, „Wohlverhalten“ der Beschäftigten zu fordern – und mit den geplanten<br />
Neuregelungen auch zu überwachen. Zusammen mit den unbestimmten Rechtsbegriffen „Erforderlichkeit“<br />
und „Verhältnismäßigkeit“ sind damit der Willkür Tor und Tür geöffnet. Denn mit der Begründung,<br />
die Einhaltung von Compliance-Anforderungen kontrollieren zu müssen, setzt der Arbeitgeber<br />
selbst den Maßstab der Erforderlichkeit und die Bedingungen der Verhältnismäßigkeit.<br />
Das entspricht weder dem Prinzip der Rechtssicherheit, noch ist es transparent.<br />
Sinnvollerweise kann „Compliance“ nur die Einhaltung des geltenden Rechts bedeuten. Dazu gehören<br />
aber gerade auch das informationelle Selbstbestimmungsrecht der Arbeitnehmer und der<br />
Beschäftigtendatenschutz. Es gibt keine Rechtfertigung dafür, unter den Aspekten von Compliance<br />
und Korruptionsbekämpfung neue Einschränkungen des <strong>Daten</strong>schutzes vorzunehmen und damit<br />
einen „Freibrief“ für Ausforschung auszustellen. Die fehlende Rechtfertigung für Eingriffe in Beschäftigtengrundrechte<br />
kann durch schwammige Begriffe höchstens überdeckt, aber nicht ersetzt<br />
werden.<br />
Der Entwurf enthält keine klaren, eindeutigen Vorschriften zur wirksamen Begrenzungen der Erhebung,<br />
Verarbeitung und Nutzung von Beschäftigtendaten und zum <strong>Schutz</strong> des Persönlichkeitsrechts.<br />
Die vorgeschlagenen Regelungen enthalten dagegen wachsweiche, dehnbare Formulierungen,<br />
die den Arbeitgebern viele Möglichkeiten eröffnen können, die gesetzlich zur Verfügung<br />
gestellten Instrumente zum „Ausspionieren“ zu nutzen. Es wird infolge des Gesetzes zu Auseinandersetzungen<br />
in den <strong>Betriebe</strong>n und Unternehmen über die Zulässigkeit von z.B. der Nutzung und<br />
Verwendung biometrischer Merkmale von Beschäftigten kommen, mit denen sich dann die Gerichte<br />
befassen müssen, weil die vorgeschlagenen Regelungen Spielräume in Auslegung und Anwendung<br />
offen lassen. Die unbestimmten Begriffe „betriebliche Gründe“ und „schutzwürdige Belange/Interessen<br />
des Beschäftigten“ ziehen sich wie ein roter Faden durch den Gesetzentwurf und<br />
gelten sowohl vor als auch während des Beschäftigungsverhältnisses Im Übrigen fehlt es an Regelungen<br />
zum Gebot der <strong>Daten</strong>sparsamkeit. Dies müsste ausdrücklich als Grundsatz festgehalten<br />
werden.<br />
Problematisch ist vor allem auch der versteckte und verschachtelt gestaltete Einwilligungsvorbehalt<br />
„zu Gunsten“ der Beschäftigten, den das Gesetz an verschiedenen Stellen vorsieht. Das Beschäftigungsverhältnis<br />
ist keine gleichrangige Beziehung. Es besteht eine Abhängigkeit der ArbeitnehmerInnen,<br />
die es dem Arbeitgeber im Zweifel möglich macht, eine Generaleinwilligung zur <strong>Daten</strong>erhebung<br />
schon bei Aufnahme des Arbeitsverhältnisses zu erhalten. Die Freiwilligkeit der Einwilligung<br />
ist deshalb sehr zweifelhaft<br />
Selbst die „Verbesserungen“ gegenüber dem Vorentwurf des BMI ändern an dieser Bewertung<br />
nichts. Denn als einzige wesentliche Änderung in diese Richtung ist die Beschränkung der heimlichen<br />
Videoüberwachung zu werten. Die hätte aber einer verfassungsrechtlichen Überprüfung sowieso<br />
nicht standgehalten. Da gleichzeitig die Möglichkeiten zur Anordnung von Gesundheitsuntersuchungen<br />
erheblich ausgeweitet werden, erscheint der Entwurf in der Gesamtbewertung eher<br />
noch negativer als der Vorentwurf. Das auch von Arbeitgeberseite Kritik geübt wird, liegt in der Natur<br />
der Sache, da sie immer ein Interesse daran hat, <strong>Schutz</strong>rechte so weit wie möglich einzuschränken.<br />
Ein Indiz für die Ausgewogenheit der Regelung ist das nicht.<br />
Ein Gesetz, das keinen politischen Mehrwert im Sinne von mehr Arbeitnehmerschutz darstellt und<br />
sogar noch hinter dem Status Quo, den die Rechtsprechung gesetzt hat, zurückbleibt, wird von den
Gewerkschaften ausdrücklich abgelehnt. Das Gesetz schafft Rechtsgrundlagen, die das Ausspionieren<br />
von Beschäftigten ausdrücklich ermöglichen.<br />
Das System des elektronischen Entgeltnachweises ELENA hat viel Widerstand ausgelöst. Wenn<br />
aber schon die Sammlung von <strong>Daten</strong> zur Gewährung von Leistungen der Sozialversicherungsträger<br />
im Hinblick auf die Rechtsprechung des BVerfG zur Vorratsdatenspeicherung verfassungsrechtlich<br />
bedenklich ist, um wie viel problematischer ist die Eröffnung von fast unbeschränkten<br />
Möglichkeiten für den Arbeitgeber, <strong>Daten</strong> zu sammeln und aufzubewahren und sie zur Überwachung<br />
seiner Beschäftigten zu nutzen?<br />
Zu den Regelungen im Einzelnen<br />
Zu Art. 1 Nr. 3:<br />
Die Regelung bedarf der Klarstellung. Es ist sicherlich nicht Sinn der Neuregelung, den <strong>Daten</strong>schutz<br />
unter den Vorbehalt einer Betriebsvereinbarung zu stellen. Dies ist auch nach der bisherigen<br />
Rechtsprechung nicht möglich. Diese stellt vielmehr inhaltliche Anforderungen an eine Betriebsvereinbarung.<br />
Diese sind gesetzlich zu definieren. Darüber hinaus ist gesetzlich klarzustellen,<br />
für welche konkret bezeichneten Regelungen eine Betriebsvereinbarung in Frage kommt. Insbesondere<br />
die Übermittlung personenbezogener <strong>Daten</strong> an Dritte kann nicht allein auf eine Betriebsvereinbarung<br />
gestützt werden, wenn die persönliche Einwilligung des Betroffenen nicht vorliegt.<br />
Zu Art. 1 Nr. 5: § 27 Abs. 3 Anwendungsbereich:<br />
Der Anwendungsbereich ist weit gefasst. Sowohl der sachliche als auch der personelle Anwendungsbereich<br />
soll umfassend sein. Dies wird grundsätzlich begrüßt.<br />
Zu Art. 1 Nr. 7: § 32 <strong>Daten</strong>erhebung vor Begründung eines Beschäftigungsverhältnisses:<br />
Zu Abs. 1:<br />
Vorgesehen ist, dass der Arbeitgeber Beschäftigtendaten erfragen darf, die er benötigt, um die<br />
Eignung des Bewerbers für eine in Betracht kommende Tätigkeit festzustellen. Dabei wird nicht nur<br />
auf die fachliche Eignung abgestellt, sondern es wird ganz allgemein von Eignung gesprochen und<br />
dann ausdrücklich auf die persönlichen Fähigkeiten, Kenntnisse und Erfahrungen zurückgegriffen.<br />
Damit wird dem Arbeitgeber ein erheblicher Spielraum eingeräumt, da er selbst definieren kann,<br />
welche persönlichen Voraussetzungen er für notwendig hält und welche nicht. Eine objektive Feststellung<br />
der Erforderlichkeit ist damit von vorneherein erheblich eingeschränkt, da der Arbeitgeber<br />
einerseits die Kriterien für die Eignung aufstellt und dann selbst darüber entscheidet, was zur Feststellung<br />
dieser Kriterien erforderlich ist. Um diese Voraussetzungen feststellen zu können, wird die<br />
Erhebung aller nur denkbaren <strong>Daten</strong> möglich sein. Das Persönlichkeitsrecht kann nur dann wirksam<br />
geschützt werden, wenn nur rein objektive, auf die fachliche Eignung bezogene Kriterien zugelassen<br />
werden. Nur auf diese fachlich bezogenen Kriterien dürfen sich Fragen oder andere <strong>Daten</strong>ermittlungen<br />
beziehen. Denn nur so kann festgestellt werden, welche <strong>Daten</strong> tatsächlich erforderlich<br />
sind.<br />
135
136<br />
Zu Abs. 2:<br />
Darüber hinaus soll die <strong>Daten</strong>erhebung nach Abs. 2 in Bezug auf rassische und ethnische Herkunft,<br />
Behinderung, Gesundheit, sexuelle Identität, Vermögensverhältnisse, Vorstrafen oder laufende<br />
Ermittlungsverfahren dann erfolgen können, wenn die Voraussetzungen von § 8 Abs. 1 AGG<br />
vorliegen. Das ist dann der Fall, wenn diese Angaben wegen der Art der auszuübenden Tätigkeit<br />
oder den Bedingungen ihrer Ausübung wesentliche und entscheidende berufliche Anforderungen<br />
darstellt sind. Teilweise entspricht diese Regelung der ebenfalls unzureichenden Regelung im<br />
AGG.<br />
Bereits in der Stellungnahme des Deutschen Gewerkschaftsbundes zum AGG-Gesetzentwurf ist<br />
darauf hingewiesen worden, dass hier nicht die Art der auszuübenden Tätigkeit oder die Bedingungen<br />
ihrer Ausübung wesentliche und entscheidende berufliche Anforderungen sein können,<br />
sondern es muss sich um eine Sowohl-als-auch-Regelung handeln, d. h., sowohl die Art der auszuübenden<br />
Tätigkeit als auch die Bedingungen ihrer Ausübung müssen bestimmte Fragen rechtfertigen,<br />
ansonsten wird in das Persönlichkeitsrecht zu weit eingegriffen. „Oder“ müsste also durch<br />
„und“ ersetzt werden.<br />
Völlig inakzeptabel ist es, die Frage nach der Gesundheit zuzulassen. Einerseits regelt Abs. 3,<br />
dass von Beschäftigten keine Auskunft darüber verlangt werden kann, ob eine Schwerbehinderung<br />
oder Gleichstellung mit einem Schwerbehinderten vorliegt, andererseits sollen Fragen nach der<br />
Gesundheit aber zulässig sein. Dies ist vollkommen widersprüchlich. Darüber hinaus ist die Frage<br />
insbesondere dann äußerst problematisch, wenn man es bei der bisherigen Formulierung belässt<br />
und die Bedingungen der Ausübung als alleiniges Kriterium zulässt. Die Bedingungen der Ausübung<br />
können nämlich einseitig vom Arbeitgeber bestimmt werden, und unterliegen keinem objektiven<br />
Prüfungsmaßstab.<br />
Die Frage nach den Vermögensverhältnissen ist ebenfalls durch nichts zu rechtfertigen, da keine<br />
Konstellation denkbar ist, in der die privaten Vermögensverhältnisse in irgendeinem Zusammenhang<br />
eine wesentliche oder entscheidende berufliche Anforderung sein könnten. Gerade die Vermögensverhältnisse<br />
sind ebenso wie z.B. die Familienplanung eine ausschließlich private Angelegenheit<br />
– sie gehen den Arbeitgeber schlicht nichts an.<br />
Wir schlagen – im Sinne von Transparenz und Rechtsklarheit- vor, einen Katalog mit unerlaubten<br />
Fragebereichen – wie etwa Schwangerschaft, Familienplanung oder Gewerkschaftszugehörigkeit –<br />
ausdrücklich in das Gesetz aufzunehmen. Sowohl vom BAG als auch vom EuGH gibt es dazu eine<br />
differenzierte Rechtsprechung.<br />
Zu Abs. 3:<br />
Diese Regelung dient der Klarstellung und ist daher zu begrüßen.<br />
Zu Abs. 4:<br />
Die Regelung entspricht § 9 Abs. 1 AGG, die ihrerseits aber wegen der Verletzung des Art. 4<br />
Abs. 2 der Richtlinie 2000/78/EG europarechtswidrig ist. Danach ist die Frage nach der Zugehörigkeit<br />
zu einer Religionsgemeinschaft oder Weltanschauungsgemeinschaft nur dann zulässig, wenn<br />
unter Beachtung des Selbstverständnisses der jeweiligen Religionsgemeinschaft im Hinblick auf ihr<br />
Selbstbestimmungsrecht und (und eben nicht „oder“) nach der Art der Tätigkeit diese Zugehörigkeit<br />
eine gerechtfertigte berufliche Anforderung darstellt. Dies muss klargestellt werden. Denn sonst<br />
wäre auch die Frage nach der Religionszugehörigkeit bei Tätigkeiten zulässig, die mit dem Verkündungsbereich<br />
nichts zu tun haben, z. B. bei einer Reinigungskraft. Die wäre aber mit der Richtlinie
nicht zu vereinbaren und ginge auch deutlich über die berechtigten Interessen von Religionsgemeinschaften<br />
hinaus.<br />
Zu Abs. 5:<br />
Die Regelung stellt eine Verbesserung gegenüber dem ursprünglichen Entwurf dar, ist aber immer<br />
noch nicht klar. In der vorliegenden Form könnte sie so gelesen werden, dass ein Arbeitgeber, der<br />
Zwecke der Berichterstattung oder Meinungsäußerung verfolgt, also z. B. ein Verlag, pauschal <strong>Daten</strong><br />
über die politische Meinung und Gewerkschaftszugehörigkeit der Beschäftigten erheben dürfte.<br />
Das ist sicherlich nicht gemeint, muss aber ausdrücklich ausgeschlossen werden.<br />
Zu Abs. 6:<br />
Mit der Regelung, dass Beschäftigtendaten, die allgemein zugänglich sind, auch erhoben und genutzt<br />
werden dürfen, und lediglich ein vorheriger Hinweis notwendig ist, werden Vorgehensweisen<br />
wie z. B. sog. Scorrings (Detekteien werden beauftragt, im privaten Umfeld des Bewerbers nach<br />
Auffälligkeiten zu suchen; z. B. wird kontrolliert, ob auffällig viele Alkoholflaschen im Abfall sind,<br />
welche Zeitungen gelesen werden, wie das Freizeitverhalten ist usw.) und Internetrecherchen weiterhin<br />
möglich sein. Informationen, deren Wahrheitsgehalt nicht überprüft wird und auch nicht überprüft<br />
werden kann, werden damit personelle Entscheidungen beeinflussen können. Berücksichtigt<br />
man dabei, dass es jede Menge Informationen auf frei zugänglichen Plattformen gibt, die <strong>ohne</strong> Wissen<br />
und erst recht <strong>ohne</strong> Zustimmung derjenigen, über die Informationen eingestellt werden, wird<br />
deutlich, dass hier Informationen erhoben werden können, die auch im Interesse der Arbeitgeber<br />
keinesfalls zur Eignungsfeststellung genutzt werden sollten. .Denn <strong>ohne</strong> dass damit sinnvoll eine<br />
Entscheidung getroffen werden kann, verletzt eine solche Ermittlung das Persönlichkeitsrecht der<br />
Betroffenen.<br />
Ebenso ist es falsch, eine <strong>Daten</strong>erhebung bei Dritten zuzulassen, wenn der Bewerber einwilligt.<br />
Denn diese Einwilligung wird im Zweifel erteilt werden müssen, soll die Bewerbung erfolgreich sein.<br />
Ebenso ist es unzureichend, den Bewerber nur auf Verlangen über den Inhalt der erhobenen <strong>Daten</strong><br />
zu unterrichten. Denn im Zweifel wird dieses Verlangen nicht geäußert, um die weiteren Chancen<br />
nicht zu verbauen. Deshalb muss der Bewerber über alle über ihn erhobenen <strong>Daten</strong> informiert werden,<br />
und zwar <strong>ohne</strong> konkrete Aufforderung.<br />
Nach der Begründung des Entwurfs (Bes. Teil, S. 13) stellt diese Bestimmung keine den § 4 BDSG<br />
ausschließende, sondern eine diesen „ergänzende“ Regelung dar. Das schafft eine intransparente,<br />
unklare und konturlose Ermächtigung für den Arbeitgeber, die in der Praxis zu Ausweitung und<br />
Missbrauch geradezu einlädt.<br />
Zu Abs. 7:<br />
In Abs. 7 wird festgelegt, dass die <strong>Daten</strong>erhebung an den Maßstab der Verhältnismäßigkeit geknüpft<br />
ist.<br />
Das sollte zur Klarstellung der Beweislast in positiver Fassung geschehen und indem klargestellt<br />
wird, dass es sich um eine zusätzliche Hürde für <strong>Daten</strong>erhebungen handelt. Diese dürfen also unter<br />
Beachtung aller übrigen Rechtmäßigkeitsvoraussetzungen nur dann durchgeführt werden, wenn<br />
sie verhältnismäßig sind. Aus Gründen der Transparenz sollte die Methode der Verhältnismäßigkeitsprüfung<br />
im Text selbst beschrieben werden.<br />
137
138<br />
Zu § 32a: Ärztliche Untersuchungen und Eignungstests vor Begründung eines Beschäftigungsverhältnisses<br />
Zu Abs. 1:<br />
Satz 1 erster Teil wird akzeptiert. Nicht akzeptiert wird die Alternative, dass die Bedingungen der<br />
Arbeitsausübung ausreichen, um <strong>Daten</strong> durch Untersuchungen zu erheben. Hier gilt das zur Frage<br />
nach der Gesundheit in § 32 Abs. 2 Gesagte entsprechend. Nur dann, wenn der Arbeitgeber alles<br />
ihm Mögliche getan hat, um eine Gesundheitsgefährdung am konkreten Arbeitsplatz auszuschließen,<br />
kann überhaupt eine gesundheitliche Untersuchung zulässig sein. Die Fälle müssen ausdrücklich<br />
gesetzlich geregelt werden und dürfen nicht der Entscheidungsbefugnis des einzelnen<br />
Arbeitgebers überlassen bleiben.<br />
Die ärztliche Untersuchung und Weitergabe des Ergebnisses durch den Vorbehalt der Einwilligung<br />
des Arbeitnehmers rechtfertigen zu wollen, ist praxisfern. Eine datenschutzrechtlich relevante Einwilligung<br />
setzt die Freiwilligkeit der Entscheidung voraus. Insbesondere im Bewerbungsverfahren<br />
wird aber im Zweifel kein Bewerber eine Einwilligung zu einer gesundheitlichen Untersuchung verweigern,<br />
wenn der Arbeitgeber sie einfordert, weil er ansonsten nicht weiter für die Einstellung in<br />
Betracht kommt.<br />
Die Einwilligung sollte im Übrigen wegen der im Interesse des Bewerbers gebotenen Warnfunktion<br />
an die Schriftform gebunden sein.<br />
Zu Abs. 2:<br />
Durch die Regelung in Abs. 2 wird dem Arbeitgeber jede Möglichkeit gegeben, durch weitere Untersuchungen<br />
und Prüfungen, die nicht weiter spezifiziert sind, den Bewerber umfassend auszuforschen.<br />
Weder ist näher beschrieben, was unter Untersuchungen zu verstehen ist, noch sind Prüfungen<br />
(außer durch die Umschreibung „Eignungstest“) in irgendeiner Art eingegrenzt. Darüber<br />
hinaus gilt auch hier das zu § 32 Abs. 2 gesagte: die Notwendigkeit der Prüfung an die Art der Tätigkeit<br />
oder die Bedingungen ihrer Ausübung zu knüpfen überlässt es dem Arbeitgeber, die Bedingungen<br />
der Ausübung festzulegen und damit die Rechtfertigung für bestimmt Untersuchungen und<br />
Prüfungen anzuordnen. Objektive Notwendigkeit wird nicht gefordert – subjektive Wünsche des<br />
Arbeitgebers genügen. Völlig ad absurdum geführt wird die Regelung dadurch, dass der Eignungstest<br />
nach wissenschaftlich anerkannten Methoden durchzuführen ist, sofern solche bestehen.<br />
Dies bedeutet im Umkehrschluss, dass dann, wenn keine Fachkunde besteht, die Tests trotzdem<br />
durchgeführt werden dürfen. Damit ist jeder noch so obskure Test zulässig.<br />
Letzter Satz klärt die Schweigepflicht nur für Personen, die <strong>ohne</strong>hin einer Schweigepflicht unterliegen.<br />
Nach unserer Ansicht ist die Schweigepflicht ausnahmslos auf alle mit der Untersuchung befassten<br />
Personen auszuweiten.<br />
Der Absatz muss ersatzlos gestrichen werden, wenn im Einstellungsverfahren keine umfassende<br />
Durchleuchtung der Bewerber gewollt ist.
Zu § 32b: <strong>Daten</strong>verarbeitung und -nutzung vor Begründung des<br />
Beschäftigungsverhältnisses<br />
Zu Abs. 1:<br />
Wir verweisen auf die Kritik zu § 32a Abs. 1. Durch das Abstellen ausschließlich auf die allgemeine<br />
Eignung des Bewerbers ist dem Arbeitgeber ein ausufernder Spielraum überlassen, welche <strong>Daten</strong><br />
er zur Feststellung dieser Eignung für notwendig hält, da er selbst die Kriterien der Eignung festlegen<br />
kann.<br />
Außerdem fehlt bei der letzten Alternative („oder für die Entscheidung über die Begründung des<br />
Beschäftigungsverhältnisses erforderlich“) jeder eingrenzende Maßstab. Klar ist nur, dass es noch<br />
sonstige Parameter außer der Eignung geben soll. Welche anderen Umstände gemeint sind, von<br />
denen die Einstellungsentscheidung abhängig gemacht werden soll, wird nicht einmal in der Entwurfsbegründung<br />
angedeutet.<br />
Zu Abs. 2:<br />
Es ist inakzeptabel, dass der Arbeitgeber, <strong>Daten</strong>, die er, auf welchem Weg auch immer, erhalten<br />
hat, mit der Begründung, sie seien für seine Entscheidung zur Begründung des Beschäftigungsverhältnisses<br />
notwendig, verarbeiten und nutzen kann. Noch gesteigert wird dies, wenn der Beschäftigte<br />
ihm „unverlangt“ <strong>Daten</strong> übermittelt. Die Kräfteverhältnisse im Arbeitsverhältnis und insbesondere<br />
im Bewerbungsverhältnis ermöglichen so dem Arbeitgeber immer den Zugang. Er kann immer<br />
mehr oder weniger deutlich machen, dass er erwartet, dass ihm bestimmte Informationen „unverlangt“<br />
zur Verfügung gestellt werden. Mit einer tatsächlichen Freiwilligkeit hat dies in dieser Abhängigkeitssituation<br />
überhaupt nichts zu tun.<br />
Darüber hinaus fördert die Regelung innerbetriebliches „Denunziantentum“; bezeichnend die Begründung,<br />
S. 14: „ihm auf andere Weise zugetragen“. Der gesamte Abs. 2 sollte deshalb gestrichen<br />
werden.<br />
Zu § 32c: <strong>Daten</strong>erhebung im Beschäftigungsverhältnis<br />
Zu Abs. 1:<br />
Es ist unklar, welche Beschäftigtendaten überhaupt erforderlich sind zur Beendigung des Arbeitsverhältnisses.<br />
Klar ist, dass bestimmte <strong>Daten</strong> zur Durchführung und zur Abwicklung des Beschäftigungsverhältnisses<br />
und natürlich auch zur Begründung des Beschäftigungsverhältnisses notwendig<br />
sind. Welche <strong>Daten</strong> aber zur Beendigung des Beschäftigungsverhältnisses notwendig sein<br />
könnten, ergibt sich weder aus dem Gesetz noch aus der Begründung. Hier ist eine Klarstellung<br />
erforderlich. Abzulehnen und klar auszuschließen ist jedenfalls eine allgemeine Erlaubnis von <strong>Daten</strong>erhebungen<br />
zur Vorbereitung von Kündigungen und einer „Munitionssammlung“ für künftige<br />
Kündigungsschutzprozesse.<br />
Zu Abs. 2:<br />
Hier wird auf die Ausführung zu § 32a verwiesen.<br />
Zu Abs. 3:<br />
Grundsätzlich sollten nur die gesetzlich ausdrücklich vorgeschriebenen Untersuchungen zulässig<br />
sein, wie z.B. nach Arbeitsmedizinverordnung. Mit der Berechtigung, Untersuchungen oder Tests<br />
139
140<br />
über die gesetzlich vorgeschriebenen Untersuchungen hinaus anordnen zu können, wenn der Arbeitgeber<br />
sie für erforderlich hält, erhält der Arbeitgeber einen Freibrief, krankheitsbedingte Kündigungen<br />
oder Kündigungen wegen Leistungsmängeln sowie Versetzungen und Änderungskündigungen<br />
vorzubereiten. Damit verschlechtert der Gesetzentwurf Arbeitnehmerrechte eklatant. Der<br />
Arbeitnehmer kann sich kaum gegen die Anordnung einer solchen Untersuchung wehren, auch<br />
wenn er sie für noch so unberechtigt hält. Denn eine Weigerung im Beschäftigtenverhältnis ist in<br />
der Regel mit Konsequenzen verbunden, und diese können häufig nicht als Benachteiligung nachgewiesen<br />
werden.<br />
Werden die Ergebnisse der arbeitsmedizinischen Untersuchungen missbräuchlich genutzt, können<br />
unliebsame oder leistungsschwächere Beschäftigte zukünftig stark unter Druck gesetzt werden.<br />
Außerdem besteht bei obligatorischen Gesundheitstests die Gefahr der Diskriminierung. Deshalb<br />
wird beispielsweise die obligatorische Testung auf HIV durch die IAO-Empfehlung 200 (Recommendation<br />
concerning HIV and AIDS and the World of Work) abgelehnt, die auch von der Bundesregierung<br />
mit Unterstützung der Arbeitgeberverbände und der Gewerkschaften beschlossen worden<br />
ist. Auch wenn argumentiert werden könnte, dass solche <strong>Daten</strong> für das Gesundheitsmanagement<br />
benötigt werden, um bessere Prävention leisten zu können bestehen bei der <strong>Daten</strong>erhebung<br />
Zielkonflikte zwischen besserer Prävention und dem <strong>Schutz</strong> individueller <strong>Daten</strong> (zum Bsp. auch bei<br />
der Gefährdungsbeurteilung oder im Rahmen des Betrieblichen Eingliederungsmanagements).<br />
Generell werden deshalb Eignungsuntersuchungen von den meisten Experten sehr kritisch gesehen.<br />
Der DGB und seine Mitgliedsgewerkschaften lehnen die Regelung nachdrücklich ab. Die Bedingungen<br />
der Ausübung können nämlich einseitig vom Arbeitgeber bestimmt werden, und unterliegen<br />
keinem objektiven Prüfungsmaßstab. Darüber hinaus müssen dann, wenn die Bedingungen<br />
der Ausübung eine konkrete gesundheitliche Gefährdung darstellen können, zunächst alle Maßnahmen<br />
unternommen werden, um die gesundheitliche Gefährdung auszuschließen (vgl. z. B. § 4<br />
ArbSchG: Gefahren sind an ihrer Quelle zu bekämpfen und individuelle Maßnahmen nachrangig).<br />
Zu § 32d: <strong>Daten</strong>verarbeitung und -nutzung im Beschäftigungsverhältnis<br />
Zu Abs. 1 und 2:<br />
Hier wird auf das bereits Gesagte zur Erforderlichkeit und Verhältnismäßigkeit verwiesen. Es bleibt<br />
allein in der Hand des Arbeitgebers, nach welchen Kriterien er seine Entscheidungen treffen will.<br />
Ein Arbeitnehmer wird während des Arbeitsverhältnisses dagegen nicht klagen – will er nicht seinen<br />
Arbeitsplatz verlieren.<br />
Zu Abs. 1 Nr. 2:<br />
Der damit frei erlaubte Austausch von Zwecken ist abzulehnen. Damit ist eine unkontrollierbare<br />
Lockerung der Zweckbindung der erhobenen <strong>Daten</strong> verbunden („Gelegenheitsfunde“).<br />
Zu Abs. 2:<br />
Vgl. Anm. zu § 32b Abs. 2 und zu § 32 c Abs. 1.<br />
Zu Abs. 3:<br />
Diese Regelung stellt das Kernstück der Neuregelung dar. Sie ist geeignet, sogar den <strong>Schutz</strong> der,<br />
wie dargestellt unzureichend durch die übrigen Neuregelungen geschaffen wird, ins Gegenteil umzukehren.<br />
Nach dieser Regelung darf der Arbeitgeber Beschäftigtendaten, die er rechtmäßig erworben<br />
hat, immer verwenden, wenn er die Begehung von Pflichtverletzungen zu seinen Lasten<br />
oder Straftaten durch den Beschäftigen aufdecken will. Es gibt keinerlei Vorschriften darüber, wel-
che Voraussetzungen dafür vorliegen müssen, ob z. B. ein konkreter Verdacht oder irgendwie geartete<br />
Anhaltspunkte für tatsächliche Vertragsverletzungen vorliegen müssen, oder ob eine abstrakte<br />
Gefahr im Sinne des Polizeirechts oder darüber hinaus ausreichen soll. Immerhin ist gegenüber<br />
dem Referentenentwurf des BMI der <strong>Daten</strong>abgleichung zur Verhinderung von Straftaten oder<br />
Pflichtverletzungen nicht mehr vorgesehen und es muss sich außerdem um schwerwiegende<br />
Pflichtverletzungen handeln. Durch die fehlende Definition, wann die Voraussetzungen vorliegen,<br />
<strong>Daten</strong> zur Aufdeckung verwenden zu dürfen, wird diese Verbesserung jedoch sehr relativiert. Denn<br />
die Regelung, dass im Verdachtsfall die <strong>Daten</strong> personalisiert werden dürfen, legt den Schluss nahe,<br />
dass der automatisierte Abgleich auch <strong>ohne</strong> konkreten Verdacht erfolgen darf. Dann würde<br />
aber der Begriff „aufdecken“ zwangläufig auch die Prävention einschließen – es bleibt also in der<br />
Wirkung bei der früheren Fassung. Positiv ist, dass durch die beispielhafte Inbezugnahme der<br />
§§ 266, 299,331 und 334 StGB der Begriff der schwerwiegenden Vertragsverletzung näher definieret<br />
wird. Allerdings berücksichtigt auch die Neufassung in keiner Weise das Strafverfolgungsmonopol<br />
des Staates, sondern der Arbeitgeber wird durch diese Regelung zu einer Art Betriebspolizei,<br />
die selbst ermittelt und zu einer Betriebsstaatsanwaltschaft, die selbst Anklagen erhebt. Dies alles<br />
aber, <strong>ohne</strong> dass die Einschränkungen staatlicher Ermittlungen bei Straftaten oder Ordnungswidrigkeiten<br />
vorliegen müssen. Damit und weil insbesondere ungeklärt ist, ab wann der Arbeitgeber „aufdecken“<br />
darf, sind die Ausforschungsmöglichkeiten nach diesem Teil des Entwurfs eher noch weitergehender.<br />
Hier werden die Vorgänge bei der Deutschen Bahn im Nachhinein legalisiert und gerechtfertigt.<br />
Schließlich ist noch darauf hinzuweisen, dass es keinerlei Verfahrensvorschriften gibt,<br />
wie anonymisiert und pseudonymisiert werden soll. Denn tatsächlich könnte das wirksam nur erfolgen,<br />
wenn ein unabhängiger Dritter mit dem Abgleich beauftragt würde. Im Betrieb selber ist es<br />
dagegen kaum möglich die Anonymität zu gewährleisten.<br />
Die Regelung wird insgesamt strikt abgelehnt und muss ersatzlos gestrichen werden.<br />
Zu Abs. 4:<br />
Es ist ungenügend, dass der Arbeitgeber lediglich den Dritten, den er ja selber mit der <strong>Daten</strong>verarbeitung<br />
beauftragt hat bzw. durch den er die Nutzung zulässt, nur darauf hinweisen muss, dass er<br />
<strong>Daten</strong> nur für den Zweck verarbeiten und nutzen darf, zu dessen Erfüllung sie ihm übermittelt wurden.<br />
Es muss vielmehr vorgesehen werden, dass dann, wenn der Dritte, dessen Dienste sich der<br />
Arbeitgeber bedient, gegen diese Verpflichtung verstößt, der Arbeitgeber dafür in Anspruch genommen<br />
werden kann. Außerdem muss festgelegt werden, dass nach Auftragende die <strong>Daten</strong> unverzüglich<br />
zu löschen sind.<br />
Zu Abs. 5:<br />
Die Regelung ist geeignet, die Persönlichkeitsrechte zu stärken und wird deshalb begrüßt – durch<br />
die weitgehenden Befugnisse, die der Arbeitgeber aber ansonsten erhält, wird sie entwertet.<br />
Zu § 32e: <strong>Daten</strong>erhebung, -verarbeitung und -nutzung <strong>ohne</strong> Kenntnis des Beschäftigten zur<br />
Verhinderung und Aufdeckung von Straftaten und anderen schwerwiegenden Pflichtverletzungen<br />
im Beschäftigungsverhältnis<br />
In diesem Paragraphen setzt sich die in § 32d Abs. 3 vorgenommene Verschiebung des Schwerpunkts<br />
der Neuregelung vom <strong>Schutz</strong> von Beschäftigtendaten und der grundgesetzlich garantierten<br />
Persönlichkeitsrechte von Beschäftigten hin zur Berechtigung des Arbeitgebers zur weitgehenden<br />
weiteren <strong>Daten</strong>erhebung und -nutzung mit der Begründung, z.B. Korruption bekämpfen zu wollen,<br />
weiter fort.<br />
141
142<br />
Zu Abs. 2:<br />
Es ist kritisch zu sehen, dass überhaupt Beschäftigtendaten <strong>ohne</strong> Wissen der Betroffenen erhoben<br />
werden dürfen. Voraussetzung ist zwar, dass Tatsachen den Verdacht begründen müssen, dass<br />
eine schwerwiegende Vertragsverletzung zu Lasten des Arbeitgebers, die den Arbeitgeber zu einer<br />
fristlosen Kündigung berechtigen würde, oder eine Straftat vorliegt. Welche Anforderungen an Tatsachen<br />
und Verdacht gestellt werden ist jedoch offen. Richtigerweise müssten Tatsachen einen<br />
hinreichenden Tatverdacht begründen um Rechtssicherheit herzustellen. Auch fehlt es an jeder<br />
Abgrenzung zum Ermittlungsmonopol des Staates bei Straftaten. Die Tatsache, dass nach Nr. 2<br />
auch die Verhinderung von Pflichtverletzungen und Straftaten ausreicht, um die <strong>Daten</strong>erhebung zu<br />
legitimieren wirft außerdem die Frage auf, welche Anforderungen für diesen Fall vorgesehen sind.<br />
Denn die Anforderung, dass Tatsachen den Verdacht begründen müssen ist ausdrücklich nur für<br />
Nr. 1 vorgesehen. Nr. 2 knüpft nur an die Erforderlichkeit an, die vom Arbeitgeber zunächst <strong>ohne</strong><br />
weitere Überprüfung, etwa durch den <strong>Daten</strong>schutzbeauftragten, festgesetzt wird. Der Beschäftigte<br />
kann diese Erforderlichkeit nicht einmal überprüfen lassen, weil er ja gerade keine Kenntnis von der<br />
<strong>Daten</strong>erhebung hat.<br />
Zwar wird in diesem Absatz die Verwendung von <strong>Daten</strong> nicht ausdrücklich geregelt – sie scheint<br />
aber immanent erlaubt zu sein. Denn <strong>ohne</strong> Verwendung kann die Erhebung allein nicht zur Aufdeckung<br />
oder Verhinderung von Straftaten oder Pflichtwidrigkeiten führen. Außerdem müsste klargestellt<br />
werden, auf welche konkrete Gruppe oder Person sich die <strong>Daten</strong>erhebung beziehen soll.<br />
Dabei ist die entsprechende Regelung nicht auf Korruptionsbekämpfung beschränkt, sondern gilt<br />
für Straftaten ganz allgemein. Auch der Diebstahl von Bagatellgegenständen ist eine Straftat.<br />
Selbst wenn nur ein diesbezüglicher Verdacht besteht, ist es nach dem Entwurf dem Arbeitgeber<br />
erlaubt, heimlich <strong>Daten</strong> zu erheben. Damit wird der Verdachtskündigung Vorschub geleistet.<br />
Zu Abs. 3:<br />
Das zur Frage der Erforderlichkeit in Abs. 2 ausgeführte gilt in gleicher Weise für die<br />
Verhältnismäßigkeitsprüfung: sie ist erst möglich, wenn die Verletzung des Persönlichkeitsrechts<br />
bereits erfolgt ist. . Damit wird aber keinerlei Transparenz hergestellt..<br />
Zu Abs. 4:<br />
Die Regelung geht in die richtige Richtung sollte aber unter Nr. 1 bezüglich des zeitlichen Umfangs<br />
einschränkender sein, da die vorgesehene Regelung missbrauchsanfällig ist.<br />
Zu Abs. 5:<br />
Es fehlen Regelungen, wie und bei wem die Dokumentation zu erfolgen hat sowie<br />
Sanktionsregelungen bei unterlassener Dokumentation.<br />
Darüber hinaus ist keinerlei vorherige Information beispielsweise der betrieblichen Interessenvertretung<br />
oder des <strong>Daten</strong>schutzbeauftragten vorgesehen, ebenso wenig wie eine Kontrolle durch<br />
diese Gremien. Hier muss ein eigenständiges Mitbestimmungsrecht konstituiert werden.<br />
Um einen angemessenen Ausgleich zwischen den Interessen des Arbeitgebers und denen der<br />
Beschäftigten zu erreichen, müsste zumindest vorgesehen werden, dass Ausmaß, Ziel und Methode<br />
der <strong>Daten</strong>erhebung, -verarbeitung und -nutzung vorab festgelegt und dokumentiert werden,<br />
dass vor Einleitung der Maßnahmen der betriebliche <strong>Daten</strong>schutzbeauftragte und die betriebliche<br />
Interessenvertretung und, soweit eine dieser Institutionen oder beide nicht vorhanden sind, eine<br />
unabhängige Stelle, z. B. beim Landesbeauftragten für den <strong>Daten</strong>schutz, beteiligt wird.
Zu Abs. 7:<br />
Die Regelung wird begrüßt, wobei allerdings nicht klar ist, worin die Notwendigkeit der Inbezugnahme<br />
von Abs. 6 S. 2-4 liegt, da es sich um ein absolutes Verbot und eine uneingeschränkte<br />
Löschungsvorschrift handelt – für eine Dokumentation des Grundes der Speicherung oder Löschung,<br />
oder die Löschung spätestens am Ende des Kalenderjahres ist also eigentlich kein Raum.<br />
Zu § 32f: Beobachtung nicht öffentlich zugänglicher Betriebsstätten mit optischelektronischen<br />
Einrichtungen<br />
Es fehlen Regelungen gegen den Einsatz von Detektiven und Systemen zur Mitteilung von Korruptionsverdächtigungen<br />
von Beschäftigten („internes Whistleblowing“).<br />
Zu Abs. 1:<br />
Auch mit dieser Neuregelung werden die betrieblichen Interessen über das informationelle Selbstbestimmungsrecht<br />
der Beschäftigten gestellt. Mit dem Insbesonderenkatalog werden die Zutrittskontrolle,<br />
die Wahrnehmung des Hausrechts, der <strong>Schutz</strong> des Eigentums und Qualitätskontrollen<br />
auf eine Stufe mit besonderen Sicherheitsinteressen auch für die Beschäftigten oder der Gefahrenabwehr<br />
gestellt. Damit ist die Definition der wichtigen betrieblichen Interessen auf einer sehr niedrigen<br />
Schwelle angesiedelt und lässt es zu, dass beispielsweise eine Videoüberwachung, die bei Lidl<br />
erhebliche Empörung ausgelöst hat, zukünftig zulässig sein wird. Denn dort war es gerade der<br />
<strong>Schutz</strong> des Eigentums und die Verhinderung von Ladendiebstählen, die Lidl als Begründung dafür<br />
angeführt hat, dass die Überwachungen durchgeführt worden sind. Deshalb ist es notwendig, dass<br />
der Insbesonderenkatalog beschränkt wird auf die Fälle, in denen ein besonderes Sicherheitsinteresse<br />
aufgrund der Besonderheiten der jeweiligen Arbeitsstätte besteht.<br />
Nicht akzeptabel ist aber, dass nach dem Entwurf demnächst in jedem Betrieb die offene Videoüberwachung<br />
zur Grundausstattung gehören wird. Diese wird dann zusätzlich noch zur Verhaltens-<br />
und Leistungskontrolle eingesetzt werden. Nach der Rechtsprechung des BAG sind der Videoüberwachung<br />
strenge Grenzen gezogen worden. Hiervon ist dem Gesetzentwurf nichts zu erkennen.<br />
Schließlich ist die notwendige Transparenz immer noch nicht hergestellt. Ziel ist der generelle<br />
Ausschluss der heimlichen Videoüberwachung. Ein allgemeiner Hinweis auf den bloßen „Umstand“<br />
der Videoüberwachung reicht dazu nicht. Hier ist eine Konkretisierung erforderlich, damit deutlich<br />
wird, wie, an welcher Stelle und wann die Videoüberwachung erfolgt. Fehlen diese Voraussetzungen<br />
erhält der Arbeitgeber vom Gesetzgeber die Handhabe, jederzeit eine Videoüberwachung im<br />
Betrieb einzusetzen, nachdem sie dies vorher (wo auch immer) kenntlich gemacht haben.<br />
.<br />
Zu Abs. 2:<br />
Die Regelung wird grundsätzlich begrüßt, müsste aber dahingehend geändert werden, dass Betriebsstätten,<br />
die auch zur privaten Lebensgestaltung des Beschäftigten dienen, nicht per Video<br />
überwacht werden dürfen. Nur so kann sichergestellt werden, dass die Privatsphäre von Beschäftigten<br />
auch am Arbeitsplatz ausreichend geschützt wird. Außerdem sollte klargestellt werden, dass<br />
dort generell jede Überwachung unzulässig ist. Auch ist der kollektive und kommunikative und nicht<br />
nur der individuelle Rückzugsraum entgegen der Begründung, S., schutzwürdig (Pausen- und Raucherräume).<br />
143
144<br />
Zu § 32g: Ortungssysteme<br />
Zu Abs. 1:<br />
Die Nutzung von Ortungssystemen zur Sicherheit der Beschäftigten ist grundsätzlich nicht zu beanstanden.<br />
Es müsste jedoch gesetzlich geregelt werden, in welchen konkreten Fällen Ortungssysteme<br />
überhaupt zur Sicherheit der Beschäftigten eingesetzt werden dürfen. Überdies ist für den<br />
jeweiligen Einsatz eine schriftliche Einverständniserklärung nach ausreichender Information erforderlich.<br />
Inwieweit zur Koordinierung des Einsatzes von Beschäftigten eine Nutzung von Ortungssystemen<br />
zulässig sein soll, ist nicht erkennbar. Insbesondere ist nicht erkennbar, welche Fallgruppen<br />
hier erfasst werden sollen. Wenn es beispielsweise darum geht, den Einsatz von Berufskraftfahrern<br />
bei einer Spedition oder einem Taxiunternehmen zu koordinieren, ist die Verwendung von<br />
Ortungssystemen überflüssig, da ein eventuell notwendig werdender neuer Einsatz dem jeweiligen<br />
Beschäftigten sowieso mündlich übermittelt werden muss. Vorher ihn dann auch noch zu orten, ist<br />
überflüssig. Die Zulässigkeit einer solchen Ortung beinhaltet vielmehr die Gefahr, dass durch eine<br />
solche Ortung die Fahrer unter ständiger Beobachtung gestellt werden. Insofern bietet zwar der<br />
letzte Satz von Abs. 1 eine gewisse Sicherheit, besser wäre es jedoch, grundsätzlich die Verwendung<br />
zur Koordinierung des Einsatzes auszuschließen.<br />
Unklar ist, wie die Ortung auf die Arbeitszeit beschränkt werden kann. Nach der Begründung sind<br />
offenbar Pausenzeiten und Ähnliches der Arbeitszeit zugerechnet worden.<br />
Zu Abs. 2 und 3:<br />
Die Regelungen sind grundsätzlich nicht zu beanstanden.<br />
Zu § 32h: Biometrische Verfahren<br />
Zu Abs. 1:<br />
Dass die Verwendung biometrischer Merkmale, außer die in Form von Lichtbildern <strong>ohne</strong> Einwilligung<br />
der Betroffenen zulässig sein soll, ist nicht einsichtig. Tatsächlich sollte auch hier eine schriftliche<br />
Einwilligung notwendig sein. Mit der Regelung, dass betriebliche Gründe zu Autorisierungs-<br />
und Authentifikationszwecken ausreichen, um die Verwendung biometrischer Merkmale erforderlich<br />
zu machen, wird dem Arbeitgeber ein Alleinentscheidungsrecht übertragen, biometrische Merkmale<br />
zu erheben und zu verwenden. Die Einschränkung zur Autorisierungs- und Authentifikationszwecken<br />
hilft dabei nicht. Es ist eine grundsätzliche Frage, ob zu diesen Zwecken biometrische Merkmale<br />
und damit ganz grundlegende Bereiche der Privatsphäre vom Arbeitgeber erhoben werden<br />
dürfen. Zwingend muss nach unserer Auffassung eine Einschränkung auf sicherheitsrelevante Bereiche<br />
erfolgen. Dass jeder Arbeitgeber zukünftig Fingerabdrücke oder Irisaufnahmen für den Zugang<br />
zu allen Betriebsstätten verwenden darf, ist viel zu weitgehend und daher abzulehnen.<br />
S. 2 enthält zwar ein Einwilligungserfordernis, lässt dafür aber jede Eingrenzung der zulässigen<br />
Ziele vermissen. Das ist angesichts der begrenzten Aussagekraft von Einwilligungen des Beschäftigten<br />
im Arbeitsverhältnis abzulehnen.
Zu § 32i: Nutzung von Telekommunikationsdiensten<br />
Zu Abs. 1:<br />
Die Regelung in Abs. 1 ist abgesehen von Nr. 3 angemessen. Bezüglich der Regelung in Nr. 3 wird<br />
auf die Ausführungen zu § 32d Abs. 3 verwiesen.<br />
Die Regelung dient nur dem Zwecke der Verhaltens- und Leistungskontrolle.<br />
Zu Abs. 2:<br />
Bei dieser Regelung wird der einschränkende Charakter der Nutzungserlaubnis von Telekommunikationsdaten<br />
in § 32i ausgehebelt. Wie bereits mehrfach gesagt, ist angesichts des Kräfteverhältnisses<br />
im Arbeitsverhältnis die Einwilligung des Beschäftigten kein angemessenes Regulativ bezüglich<br />
des Missbrauchs von Arbeitnehmerdaten. Ebenso wenig sind die berechtigten Interessen<br />
des Arbeitgebers eine Einschränkung, denn nach der gesamten Anlage der Neuregelung geht die<br />
Wertung des Gesetzgebers dahin, dass die berechtigten Interessen auf einer sehr niedrigen<br />
Schwelle vorliegen. Die Sonderregelungen für die Arbeit in Callcentern nach Satz 2 und 3 sind ebenfalls<br />
völlig unangemessen. Sie geben dem Arbeitgeber ein weitgehendes Recht, die berufliche<br />
Tätigkeit der Mitarbeiter dauerhaft aufzuzeichnen. Dies entspräche an anderen Arbeitsplätzen einer<br />
Dauerbeobachtung durch Video. Dass hier außerdem eine bloße Benachrichtigung, aber nicht<br />
einmal eine vorherige Einwilligung des Beschäftigten, so unzureichend sie auch sein mag, vorgesehen<br />
ist, setzt die Beschäftigten in Callcentern einem erheblichen Überwachungsdruck aus. Ebenso<br />
wenig ist die Einwilligung der Kommunikationspartner ein einschränkendes Kriterium, als<br />
sich an der bisherigen völlig unbefriedigenden Praxis nichts ändert.<br />
Es sollte klargestellt werden, dass eine schriftliche Einwilligung des Arbeitnehmers (nicht vorab im<br />
Arbeitsvertrag) und eine ausdrückliche Erklärung des Kommunikationspartners erforderlich ist.<br />
Zu Abs. 3:<br />
Es wird auf die Ausführung zu Abs. 1 verwiesen.<br />
Zu § 32j: Unterrichtungspflichten<br />
Zu Abs. 1:<br />
Die Regelung ist nicht weitgehend genug. Es ist nicht ausreichend, dass der Arbeitgeber bei unrechtmäßiger<br />
Übermittlung oder Kenntniserlangung bei Dritten dies dem Arbeitnehmer mitteilt. Er<br />
hat vielmehr alles ihm Zumutbare zu tun, um daraus entstehende Schäden auszuschließen und auf<br />
den Dritten einzuwirken, dass die <strong>Daten</strong> unverzüglich gelöscht werden.<br />
Zu § 32 l: Einwilligung, Geltung für Dritte, Rechte der Interessenvertretung, Beschwerderecht,<br />
Unabdingbarkeit<br />
Zu Abs. 4:<br />
Es ist praxisfern, das Recht der Beschäftigten, Verstöße gegen die unbefugte <strong>Daten</strong>erhebung, -<br />
verwendung oder –nutzung bei der zuständigen Behörde erst zuzulassen, wenn Vorab einer Beschwerde<br />
im Betrieb nicht abgeholfen wurde. Gerade in schweren Fällen, in denen der Beschäftigte<br />
davon ausgehen muss, dass der Rechtsverstoß mit voller Absicht erfolgt ist, wird er durch die<br />
Notwendigkeit, zunächst eine interne Beschwerde vorzunehmen. einem erheblichen Druck ausge-<br />
145
146<br />
setzt. Er wird in diesen Fällen immer mit Repressalien rechnen müssen – und im Zweifel die Beschwerde<br />
unterlassen. Im Übrigen konterkariert die Regelung die Rechtsprechung des BAG zu<br />
whistleblowing, die gerade dann, wenn der Arbeitgeber der „Täter“ ist, keine interne Beschwerde<br />
verlangt, weil sie unverhältnismäßig ist. Im Übrigen dürfte eine solche Beschränkung auch gegen<br />
die EU <strong>Daten</strong>schutzrichtlinie verstoßen. Denn nach Artikel 28 Absatz 4 der EU-<br />
<strong>Daten</strong>schutzrichtlinie 95/46 steht jedermann, das Recht zu, sich bei Verdacht auf Verstöße gegen<br />
<strong>Daten</strong>schutzbestimmungen direkt an unabhängige Kontrollbehörden zu wenden. Eine Einschränkung<br />
ist gerade nicht vorgesehen.<br />
Zu Nr. 10 Ergänzung von § 43:<br />
Die Vorschriften des § 43 lediglich und unvollständig zu ergänzen, wird den Bedürfnissen nach<br />
wirksamen und abschreckenden Sanktionen nicht gerecht. Zum einen werden nicht einmal alle<br />
Verstöße gegen die Pflichten des Arbeitgebers aus den Neuregelungen in den Bußgeldkatalog<br />
aufgenommen (z. B. fehlt die Erlangung von <strong>Daten</strong> von Dritten <strong>ohne</strong> Einwilligung nach § 32a Nr. 8),<br />
zum anderen müssten aber besonders schwere Verstöße auch strafbewehrt sein. Darüber hinaus<br />
fehlt die Regelung zu einem Entschädigungsanspruch des Beschäftigten bei Verletzung seines<br />
Persönlichkeitsrechts und ein Schadensersatzanspruch, wenn z. B. ein Bewerber aufgrund unrechtmäßig<br />
erlangter <strong>Daten</strong> im Bewerbungsverfahren die Stelle nicht erhält.<br />
Zusammenfassung<br />
Der Gesetzesentwurf verdient nicht den Namen, der ihm gegeben wurde. Es handelt sich nicht um<br />
den Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes, sondern um einen<br />
Entwurf zur Regelung der Erlaubnis des Arbeitgebers zur Nutzung von Beschäftigtendaten. Die<br />
vorgesehenen Regelungen gehen viel zu weit und greifen in die Rechte der Beschäftigten, insbesondere<br />
in deren Recht auf informationelle Selbstbestimmung in nicht zu rechtfertigender Weise<br />
ein. Es ist fraglich, ob mit diesem Entwurf die Grenzen, die das Bundesverfassungsgericht für Eingriffe<br />
in das allgemeine Persönlichkeitsrecht in seinen datenschutzrechtlich relevanten Ausprägungen<br />
gesetzt hat, auch nur ansatzweise eingehalten werden. Es darf beim <strong>Daten</strong>schutz nicht darum<br />
gehen, Persönlichkeitsrechte auf denselben Rang wie das Recht der Unternehmer an ihrer wirtschaftlichen<br />
Betätigung zu stellen. Persönlichkeitsrechte müssen Vorrang haben und sind unverzichtbar.
<strong>Daten</strong>schutz im Arbeitsverhältnis ausgewogen und<br />
rechtssicher gestalten<br />
Balance zwischen <strong>Daten</strong>schutz und Compliance sicherstellen<br />
Februar 2010<br />
Ansprechpartner:<br />
Abteilung Arbeitsrecht<br />
T +49 30 2033-1200<br />
arbeitsrecht@arbeitgeber.de<br />
BDA | Bundesvereinigung der Deutschen Arbeitgeberverbände<br />
147
148<br />
Zusammenfassung<br />
Deutschland verfügt über ein im internationalen<br />
Vergleich sehr hohes <strong>Daten</strong>schutzniveau. Dies<br />
gilt im Verhältnis des Bürgers zum Staat, es gilt<br />
ebenso für das Verhältnis der Bürger untereinander,<br />
insbesondere auch für das Arbeitsverhältnis.<br />
Vor dem Hintergrund des hohen Niveaus des <strong>Daten</strong>schutzes<br />
innerhalb der Mitgliedsstaaten haben<br />
auch Kommission und Rat der Europäischen Union<br />
ihr Vorhaben aufgegeben, eine eigenständige<br />
Richtlinie für den Arbeitnehmerdatenschutz zu<br />
entwickeln.<br />
Ein ausgewogener <strong>Daten</strong>schutz im Arbeitsverhältnis<br />
ist sinnvoll. Ein solcher <strong>Daten</strong>schutz muss<br />
die Vertraulichkeit der <strong>Daten</strong> und Geschäftsgeheimnisse<br />
von Arbeitgebern und Arbeitnehmern<br />
wahren. Ein ausgewogener <strong>Daten</strong>schutz muss<br />
gleichzeitig sicherstellen, dass Korruptionen und<br />
Kriminalität in den <strong>Betriebe</strong>n wirkungsvoll bekämpft<br />
werden können.<br />
Im Einzelnen<br />
I. Grundsatzregelung § 32 BDSG<br />
Die in das Bundesdatenschutzgesetz aufgenommene<br />
Grundsatzregelung zum Arbeitnehmerdatenschutz<br />
in einem neuen § 32 BDSG war überflüssig<br />
und macht das <strong>Daten</strong>schutzrecht nicht<br />
transparenter. Sie ändert aber an der bestehenden<br />
Struktur des <strong>Daten</strong>schutzes im Arbeitsverhältnis<br />
nichts. Vielmehr soll sie das geltende<br />
Recht wiedergeben.<br />
1. Struktur des § 32 BDSG<br />
In § 32 Abs. 1 BDSG werden im Wesentlichen<br />
zwei Fälle unterschieden. Nach Satz 1 dürfen für<br />
Zwecke des Beschäftigungsverhältnisses <strong>Daten</strong><br />
des Beschäftigten erhoben, verarbeitet oder genutzt<br />
werden, wenn dies für die Entscheidung<br />
über die Begründung eines Beschäftigungsverhältnisses<br />
oder nach Begründung des Beschäftigungsverhältnisses<br />
für dessen Durchführung oder<br />
Beendigung erforderlich ist.<br />
Zur Aufdeckung von begangenen Straftaten dürfen<br />
personenbezogene <strong>Daten</strong> eines Beschäftigten<br />
nach Satz 2 dann erhoben, verarbeitet oder<br />
genutzt werden, wenn zu dokumentierende tatsächliche<br />
Anhaltspunkte den Verdacht begrün-<br />
den, dass der Betroffene im Beschäftigungsverhältnis<br />
eine Straftat begangen hat, die <strong>Daten</strong> zur<br />
Aufdeckung erforderlich sind und das schutzwürdige<br />
Interesse des Beschäftigten an dem Ausschluss<br />
der <strong>Daten</strong>erhebung, -verarbeitung oder -<br />
nutzung nicht überwiegt, insbesondere die <strong>Daten</strong>nutzung<br />
nicht unverhältnismäßig ist.<br />
a. Zweck des Beschäftigungsverhältnisses<br />
Ausweislich der Begründung beschränkt sich<br />
§ 32 BDSG darauf, § 28 Abs. 1 Satz 1 Nr. 1<br />
BDSG zu konkretisieren und Satz 2 desselben<br />
Absatzes überflüssig zu machen, wenn die <strong>Daten</strong><br />
zum Zweck des Beschäftigungsverhältnisses erhoben<br />
werden. Danach sollen die von der Rechtsprechung<br />
erarbeiteten Grundsätze des <strong>Daten</strong>schutzes<br />
im Beschäftigungsverhältnis nicht geändert,<br />
sondern lediglich zusammengefasst werden.<br />
Die <strong>Daten</strong>erhebung nach anderen Vorschriften<br />
des Bundesdatenschutzgesetzes oder anderer<br />
Gesetze (genannt werden ausdrücklich § 4a<br />
BDSG und § 22 Kunsturhebergesetz) soll möglich<br />
bleiben. Entsprechendes soll ausweislich der<br />
Gesetzesbegründung auch für § 28 Abs. 1 Satz 1<br />
Nr. 2 und 3 BDSG gelten, soweit die <strong>Daten</strong>nutzung<br />
nicht zu Zwecken des Beschäftigungsverhältnisses<br />
stattfindet. Danach soll es möglich<br />
sein, zum Beispiel Maßnahmen zur Korruptionsbekämpfung<br />
auch präventiv zu ergreifen.<br />
b. Aufdeckung von Straftaten<br />
Satz 2 soll nur für begangene Straftaten bzw. deren<br />
Aufdeckung gelten. Entweder sind Maßnahmen<br />
zur Bekämpfung von Korruption mit dem<br />
Zweck des Beschäftigungsverhältnisses verbunden<br />
und wären demnach gem. § 32 S. 1 BDSG<br />
zulässig oder sie dienen nicht unmittelbar dem<br />
Zweck der Durchführung des Beschäftigungsverhältnisses;<br />
dann können entsprechende Maßnahmen<br />
auf § 28 Abs. 1 Satz 1 Nr. 2 und ggf. 3<br />
BDSG gestützt werden. Die Verhinderung von<br />
Straftaten bleibt nach der Begründung gestützt<br />
auf § 28 Abs. 1 Nr. 2 und 3 BDSG oder gestützt<br />
auf § 32 n. F. BDSG möglich.<br />
c. Begriff der Datei<br />
In Abs. 2 wird klargestellt werden, was unter Erhebung,<br />
Verarbeitung und Nutzung von <strong>Daten</strong> zu
verstehen ist. Die Vorschrift ist vor dem Hintergrund<br />
von § 3 Abs. 2 BDSG überflüssig.<br />
d. Beteiligungsrecht der Interessenvertretung<br />
Die Rechte des Betriebsrates bleiben nach § 32<br />
Abs. 3 BDSG unberührt. Dies bestätigt eine<br />
Selbstverständlichkeit. Mit der Einfügung des §<br />
32 BDSG ist keine Ausweitung des Mitbestimmungsrechts<br />
des Betriebsrats, insbesondere<br />
nicht des Mitbestimmungsrechts nach § 87 Abs.<br />
1 Nr. 6 BetrVG verbunden.<br />
2. Bewertung<br />
Die BDA hat auf die nun vorgenommene Klarstellung<br />
in der Gesetzesbegründung gedrängt, dass<br />
mit der Aufnahme des § 32 BDSG die bisherige<br />
Rechtslage nicht geändert wird. Eine solche Veränderung<br />
war auch vor dem Hintergrund des Kabinettsbeschlusses<br />
vom 18. Februar 2009 nicht<br />
beabsichtigt.<br />
Es handelt sich lediglich um eine Zusammenfassung<br />
der bestehenden Rechtslage und Rechtsprechung<br />
und ebenfalls ausweislich der Gesetzesbegründung<br />
soll kein Präjudiz für mögliche<br />
weitere gesetzliche Modifizierungen geschaffen<br />
werden.<br />
Trotzdem ist die Zusammenfassung bestehender<br />
Grundsätze in der konkreten Form kritisch zu<br />
würdigen. Die Erfahrung mit der Rechtsprechung<br />
zu gesetzlichen Regelungen im Zusammenhang<br />
mit der <strong>Daten</strong>erfassung in den letzten Jahren gebietet<br />
besondere Wachsamkeit. Trotz der ausdrücklichen<br />
Betonung, dass es sich lediglich um<br />
eine Klarstellung handelt, bleiben Risiken, die<br />
sich aus jeder intransparenten Neuregelung ergeben.<br />
So hat beispielsweise das BAG sogar vor dem<br />
klaren Wortlaut des § 87 Abs. 1 Nr. 6 BetrVG, in<br />
dem es heißt "Der Betriebsrat hat (...) in folgenden<br />
Angelegenheiten mitzubestimmen: 6. Einführung<br />
und Anwendung von technischen Einrichtungen,<br />
die dazu bestimmt sind, das Verhalten<br />
oder die Leistungen des Arbeitnehmers zu überwachen;<br />
(...) " in sehr weitgehender "Rechtsfortbildung"<br />
diese Formulierung „dazu bestimmt" uminterpretiert<br />
in die Formulierung, „die dazu geeignet<br />
sind".<br />
Eine entsprechende Interpretation halten wir auf<br />
Grund der Gesetzesbegründung hinsichtlich des<br />
§ 32 BDSG nicht für zulässig. Klar muss sein:<br />
Überall dort, wo der Zweck der <strong>Daten</strong>nutzung ein<br />
anderer ist, als die Begründung, Durchführung<br />
oder Beendigung des Beschäftigungsverhältnisses,<br />
greift wie bisher unter anderem § 28 BDSG.<br />
Steht die Verhinderung von Rechtsverstößen im<br />
Vordergrund, gilt nicht der strenge Maßstab des §<br />
32 S. 2 BDSG, sondern die Zulässigkeit richtet<br />
sich nach den §§ 32 S. 1, 28 Abs. 1 BDSG oder<br />
weiteren Spezialvorschriften. Dies sollte im Falle<br />
weiterer Modifikationen des <strong>Daten</strong>schutzrechts<br />
ausdrücklich klargestellt werden.<br />
Kritisch zu würdigen ist außerdem die sehr enge<br />
Regelung zur <strong>Daten</strong>nutzung zur Aufdeckung von<br />
Straftaten. Hier muss zukünftig klargestellt werden,<br />
dass beispielsweise auch verdachtsunabhängige<br />
Kontrollen im Zusammenhang mit möglichen<br />
Ordnungswidrigkeiten und Vertragsverletzungen<br />
durchgeführt werden dürfen. Das Risiko<br />
einer unzulässigen <strong>Daten</strong>verarbeitung trägt der<br />
Arbeitgeber, er hat daher ein berechtigtes Interesse<br />
daran, dieses Risiko zu minimieren bzw.<br />
auszuschließen.<br />
II. Änderungen der Regelung zur Auftragsdatenverarbeitung<br />
Mit den aktuellen Änderungen des Bundesdatenschutzgesetzes<br />
wurde neben der Einfügung des<br />
§ 32 BDSG und der überflüssigen Regelung eines<br />
Sonderkündigungsschutzes des betrieblichen<br />
<strong>Daten</strong>schutzbeauftragten auch die Regelung des<br />
§ 11 BDSG zur Auftragsdatenverarbeitung verkompliziert.<br />
Gemäß des bisherigen § 11 BDSG war der Auftraggeber<br />
bereits für die Einhaltung der Vorschriften<br />
des BDSG und anderer Vorschriften über den<br />
<strong>Daten</strong>schutz verantwortlich, wenn personenbezogene<br />
<strong>Daten</strong> in seinem Auftrag durch andere<br />
Stellen erhoben, verarbeitet oder genutzt wurden.<br />
Durch die Neuregelung im BDSG werden den<br />
Unternehmen nun detaillierte Vorgaben gemacht,<br />
welche Bereiche im Vertrag mit dem Auftragnehmer<br />
zu regeln sind. Gleichzeitig werden den<br />
Unternehmern umfangreiche - bürokratische -<br />
Kontrollpflichten auferlegt.<br />
Es sollte zukünftig klargestellt werden, dass für<br />
den Fall der sorgfältigen Auswahl des Auftrag-<br />
149
150<br />
nehmers durch den Arbeitgeber eine Exkulpationsmöglichkeit<br />
des Arbeitgebers bei Pflichtverletzungen<br />
durch den Auftragnehmer besteht. Außerdem<br />
sollte die Möglichkeit geschaffen werden,<br />
auch vertraglich eine Übernahme der Gewährleistung/Haftung<br />
durch den Auftragnehmer zu regeln.<br />
Insbesondere die Entgeltabrechnung oder<br />
Pensionsabwicklung durch Dritte muss durch eine<br />
Vereinfachung des § 11 BDSG erleichtert<br />
werden.<br />
III. Für einen überschaubaren <strong>Daten</strong>schutz<br />
Die Entscheidung der Regierungskoalition mögliche<br />
weitere Modifikationen des <strong>Daten</strong>schutzrechts<br />
im Zusammenhang mit dem Arbeitsverhältnis<br />
in das geltende Bundesdatenschutzgesetz<br />
zu integrieren, ist richtig. Ein separates Arbeitnehmerdatenschutzgesetz<br />
ist nicht erforderlich.<br />
Solche Änderungen müssen sich auf datenschutzrechtliche<br />
Fragestellungen beschränken.<br />
Es gibt z.B. Anpassungsbedarf betreffend einiger<br />
Regelungen zur Verwendung von <strong>Daten</strong> im Konzern<br />
oder zur Nutzung moderner Kommunikationstechnologien<br />
auf arbeitgeberseitig gestelltem<br />
Arbeitsmaterial durch Arbeitnehmer.<br />
Inhaltliche Verbesserungen hinsichtlich Rechtsklarheit<br />
und -sicherheit sind hinsichtlich folgender<br />
Themenbereiche denkbar:<br />
� Die effektive Kriminalitätsbekämpfung und<br />
die Bekämpfung von Korruption sind von<br />
herausragender Bedeutung für die Unternehmen.<br />
Im Zuge einer Novellierung des<br />
Bundesdatenschutzgesetzes muss daher<br />
klargestellt werden, dass zum Beispiel gegenüber<br />
einer konkreten Gruppe von Arbeitnehmern,<br />
unter denen es Verdachtsfälle gibt,<br />
ein so genanntes Screening, also ein Abgleich<br />
vorhandener <strong>Daten</strong>, möglich ist.<br />
� Die Vertraulichkeit von Unternehmensdaten<br />
muss gewährleistet werden. Diese müssen<br />
wirkungsvoll vor dem Zugriff Unbefugter geschützt<br />
werden.<br />
� Vertragsverletzungen und strafrechtlich relevantes<br />
Verhalten im Zusammenhang mit der<br />
Nutzung von Informations- und Kommunikationstechnologien<br />
am Arbeitsplatz müssen<br />
ausgeschlossen und ein effizientes Risikomanagement<br />
betrieben werden können. Da-<br />
zu gehört, wie das Beispiel Finnland zeigt,<br />
auch die Möglichkeit, E-Mails zu überprüfen.<br />
� Das Mitbestimmungsrecht des Betriebsrates<br />
kann diesen in eine kritische Lage bringen,<br />
wenn er bei der Überwachung durch moderne<br />
Informations- und Kommunikationseinrichtungen<br />
einbezogen werden muss. Es ist<br />
daher zu überlegen, die Zustimmungsnotwendigkeit<br />
partiell durch eine nachträgliche<br />
Informationspflicht zu ersetzen.<br />
� Der <strong>Daten</strong>austausch im Konzern muss –<br />
auch über nationale Grenzen hinweg – erleichtert<br />
werden. Diese Forderung betrifft<br />
auch das europäische Recht. Bereits auf nationaler<br />
Ebene kann aber klargestellt werden,<br />
dass die Funktionsübertragung im Konzernverbund<br />
ebenso wie die Auftragsdatenverarbeitung<br />
möglich ist, <strong>ohne</strong> die Einzeleinwilligung<br />
der betroffenen Arbeitnehmer einholen<br />
zu müssen. Insbesondere sollte klargestellt<br />
werden, dass Konzernunternehmen<br />
nicht als „Dritte“ im Sinne des <strong>Daten</strong>schutzrechts<br />
gelten.<br />
� Auch die Frage der Geltung des Fernmeldegeheimnisses<br />
bei der Nutzung betrieblicher<br />
Kommunikationsmittel durch die Arbeitnehmer<br />
ist gesetzgeberisch wenig überzeugend<br />
gelöst. Die Auffassung, dass der Arbeitgeber<br />
Anbieter im Sinne des Telekommunikationsrechts<br />
ist, sollte aufgegeben werden. Notwendig<br />
sind Regelungen, die einen an die<br />
Besonderheiten des Arbeitsverhältnisses<br />
angepassten Ausgleich zwischen dem Persönlichkeitsrecht<br />
des Arbeitnehmers und<br />
dem berechtigten Kontrollinteresse des Arbeitgebers<br />
ermöglichen. Die derzeitige<br />
Rechtslage führt dazu, dass sich Arbeitgeber<br />
bei der Kontrolle - selbst bei offensichtlichen<br />
Missbrauchsfällen - in einer rechtlichen<br />
Grauzone befinden.<br />
� Es muss sichergestellt werden, dass Betriebsvereinbarungen<br />
als Rechtsvorschriften<br />
– entsprechend der bestehenden Rechtslage<br />
– anerkannt sind, so dass eine <strong>Daten</strong>erhebung<br />
und –verarbeitung auch auf die Regelung<br />
in einer Betriebsvereinbarung gestützt<br />
werden kann.
� Für die Erhebung und Verarbeitung von Gesundheitsdaten<br />
darf es keinen gesetzlichen<br />
Wertungswiderspruch geben. Dies gilt insbesondere<br />
für gesetzlich vorgeschriebene Untersuchungen,<br />
bei der Durchführung eines<br />
betrieblichen Eingliederungsmanagements<br />
oder auch bei Untersuchungen, die aufgrund<br />
der Fürsorgepflicht notwendig werden. In<br />
diesen Fällen muss der Betriebsarzt entsprechend<br />
den Regeln der ärztlichen Diagnostik<br />
die erforderlichen Untersuchungen<br />
veranlassen können.<br />
IV. <strong>Daten</strong>schutz, Korruptionsbekämpfung und<br />
Compliance<br />
Der verantwortungsvolle Umgang mit persönlichen<br />
<strong>Daten</strong> im Rahmen des Arbeitsverhältnisses<br />
ist für die Arbeitgeber eine Selbstverständlichkeit.<br />
Gleichzeitig tragen die Unternehmen die Verantwortung<br />
für eine zuverlässige Anwendung der<br />
Gesetze (Compliance). So sind sie beispielsweise<br />
zu einer effizienten Korruptionsbekämpfung<br />
verpflichtet.<br />
Um sicherzustellen, dass die Gesetze und internen<br />
Regelungen des Unternehmens eingehalten<br />
werden, ist Kontrolle notwendig. – auch die des<br />
einzelnen Arbeitnehmers. Die Möglichkeit des<br />
Einsatzes moderner Informations- und Kommunikationstechnik<br />
in diesem Bereich darf nicht zu<br />
Lasten einer wirksamen Compliance eingeschränkt<br />
werden.<br />
151
152<br />
Stellungnahme des Deutschen Richterbundes zum Referentenentwurf des Bundesministeriums für<br />
Arbeit und Soziales für ein Gesetz zur Ermittlung von Regelbedarfen und zur Änderung des Zweiten<br />
und Zwölften Buches Sozialgesetzbuch<br />
40/10<br />
Oktober 2010<br />
Der Deutsche Richterbund (DRB) nimmt zum Referentenentwurf des Bundesministeriums für Arbeit und Soziales für ein Gesetz zur Ermittlung<br />
von Regelbedarfen und zur Änderung des Zweiten und Zwölften Buches Sozialgesetzbuch vom 20.09.2010 wie folgt Stellung:<br />
1. Die folgende Stellungnahme beschränkt sich auf diejenigen Aspekte der vorliegenden Regelungsentwürfe, die Auswirkungen auf das<br />
sozialgerichtliche Verfahren ha-ben können. Eine sozialpolitische Bewertung gehört hingegen nicht zu den Aufgaben des DRB als Berufsverband<br />
der Richterinnen, Richter, Staatsanwältinnen und Staatsanwälte. Auch eine verfassungsrechtliche Bewertung des vorliegenden Gesetzentwurfs<br />
erfolgt mit der folgenden Stellungnahme nicht.<br />
2. Der Arbeitsanfall in der Sozialgerichtsbarkeit war in früheren Jahren stets konjunkturell bedingten Schwankungen unterworfen. Seit nunmehr<br />
rund 15 Jahren - und damit bereits lange vor Einführung von SGB II und SGB XII - ist vor den Sozialgerichten allerdings ein stetiger Anstieg der<br />
Streitverfahren zu verzeichnen. Diese Entwicklung hat sich seit 2005 dramatisch verschärft. In vielen Bundesländern kommen inzwischen die<br />
Hälfte, teilweise sogar über die Hälfte der Verfahren allein aus dem Bereich der Grundsicherung für Arbeitsuchende (SGB II) und der Sozialhilfe<br />
(SGB XII). Dies hat selbst die sehr leistungsstarke Sozialgerichtsbarkeit an ihre Belastungsgrenzen geführt. Obwohl es sich bei der<br />
Sozialgerichtsbarkeit um einen überaus effektiv und engagiert arbeitenden Gerichtszweig handelt, mussten die Richterzahlen z. T. deutlich<br />
aufgestockt werden. Trotzdem kann man von einer echten Entspannung der Situation noch nicht sprechen. Neben einer nachhaltigen Personalpolitik<br />
müssen daher vor allem auch alle Möglichkeiten ausgeschöpft werden, die gesetzlichen Regelungen im Hinblick auf die praktische Handhabung zu<br />
reformieren. Zu Recht setzt daher der vorliegende Gesetzentwurf (GE) auch hier an. Folgende Punkte sollten indes im weiteren<br />
Gesetzgebungsverfahren berücksichtigt werden:<br />
3. Die in § 19 SGB II-E angelegte und in der Begründung zu § 22 SGB II (S. 83) unterstrichene Vereinheitlichung zu einem einheitlichen<br />
Arbeitslosengeld II, dessen "integraler Bestandteil" auch die Kosten der Unterkunft und Heizung "als nicht mehr abtrennbarer Teil" sein sollen,<br />
weitet den gerichtlichen Überprüfungsrahmen unsach-gemäß aus und belastet die Gerichte mit einem unnötigen Überprüfungsaufwand, <strong>ohne</strong> dass<br />
den Verfahrensbeteiligten daraus ein Mehrwert entstehen würde. Nach bisherigen Rechtsprechung des Bundessozialgerichts (z. B. BSG, Urteil vom<br />
07.11.2006 - B 7b AS 8/06 R -, SozR 4-4200 § 22 Nr. 1) handelt es sich bei den Kos-ten der Unterkunft und Heizung (KdU) um einen von den<br />
übrigen Leistungen zur Sicherung des Lebensunterhalts (z. B. Regelleistung, Mehrbedarfe und Zuschlag nach § 24 SGB II) abtrennbaren<br />
Streitgegenstand, auf den die Beteiligten den Rechtsstreit begrenzen können. Dies entspricht insbesondere dem Interesse der Leistungsempfänger,<br />
die Einwendungen nur gegen die Höhe der KdU (oder etwa nur gegen die Höhe der Regelleistung) erheben wollen. Sollten die KdU aber integraler<br />
- nicht mehr abtrennbarer - Teil eines einheitlichen Arbeitslosengelds II werden, könnte hieran nicht mehr festgehalten werden. Nach dem für die<br />
Sozialgerichtsbarkeit geltenden Amtsermittlungsgrundsatz müssten künftig - unter Berücksichtigung der Rechtsprechung des BSG - auch dann<br />
Feststellungen zur Höhe einzelner Anspruchselemente dieser dann einheitlichen Leistung getroffen werden, wenn die Beteiligten hierüber gar nicht<br />
streiten. Z. B. müssten die Voraussetzungen eines Mehrbedarfs oder der Anrechnung von Einkommen (ggf. unter Heranziehung der Beteiligten zu<br />
bestimmten Mitteilungen) auch dann aufgeklärt werden, wenn sich der Leistungsempfänger ausschließlich gegen die Höhe der KdU wenden<br />
möchte. Hält ein Kläger etwa nur die Regelleistung für verfassungswidrig und möchte dagegen vorgehen, erscheint es nicht sachgerecht, auch noch<br />
die Höhe der KdU mit zu überprüfen, gegen die er sich gar nicht wenden möchte. Dies hätte eine unangemessene Ausweitung des Streitgegenstands<br />
gerichtlicher Verfahren zur Folge, die diese Verfahren - insbesondere auch zulasten der rechtsuchenden Bürger - weiter belasten und vor allem<br />
verzögern würde.<br />
Wir regen daher dringend an, im Gesetz klarzustellen, dass die einzelnen, abgrenzbaren Anspruchselemente, nämlich die Kosten der Unterkunft und<br />
Heizung, die Regeleistung und die Mehrbedarfe als eigenständige Streitgegenstände isoliert gerichtlich überprüft werden können. Andernfalls<br />
würden die geplanten Regelungen zu einer zusätzlichen starken Belastung der gerichtlichen Verfahren führen, <strong>ohne</strong> dass den Verfahrensbeteiligen<br />
hieraus ein Mehrwert erwachsen würde.<br />
4. Der DRB begrüßt die Intention des Gesetzgebers, die Regelungen über Sanktionen nach § 31 SGB II zu vereinfachen und damit für die<br />
behördliche und gerichtliche Praxis handhabbarer zu machen. Unklar ist allerdings welche Voraussetzungen an die positive Kenntnis als Alternative<br />
zur schriftlichen Belehrung über die Rechtsfolgen nach § 31 Abs. 1 Satz 1 SGB II-E gestellt werden sollen. Denn eine unrichtige Belehrung über<br />
die Rechtsfolgen dürfte positive Kenntnis über die Rechtsfolgen ausschließen, wenn man nicht vom Leistungsempfänger erwarten wollte, klüger als<br />
die Rechtsfolgenbelehrung zu sein. Es liegt daher näher, auf die Systematik des § 48 Abs. 1 Satz 2 Nr. 4 SGB X zurückzugreifen: Eine<br />
Rechtsfolgenbelehrung würde es dann - wie in anderen sozialrechtlichen Bereichen - weiterhin geben, um die grobe Fahrlässigkeit herbeizuführen;<br />
daneben könnte man so aber auch den Kenntnissen im Einzelfall gerecht werden.<br />
5. § 37 SGB II-E sollte dahingehend erweitert werden, dass auch Leistungen nach § 21 SGB II (Mehrbedarfe) eines gesonderten Antrags bedürfen.<br />
Nach der Rechtsprechung des BSG umfasst ein Antrag auf Leistungen nach dem SGB II bislang sämtliche Bedarfe, die innerhalb eines
Bewilligungszeitraums auftreten - auch nach Erlass des Bewilligungsbescheids -, unabhängig davon, ob der Leistungsträger Kenntnis davon hat.<br />
Insbesondere im Hinblick auf die Bestimmung des § 21 Abs. 6 SGB II (im Einzelfall unabweisbarer, laufender Bedarf) sollte aber ein<br />
Antragserfordernis bestehen. Ansonsten müssten der Leistungsträger und das Sozialgericht in jedem Fall, in dem die Höhe der Leistung streitig ist,<br />
von Amts wegen Feststellungen dazu treffen, ob ein Mehrbedarf vorliegt.<br />
6. Der Verkürzung der Frist nach § 44 Abs. 4 SGB X für Leistungen nach dem SGB II (§ 40 Abs. 1 SGB II-E) und dem SGB XII (§ 116 a SGB XII<br />
-E) auf ein Jahr stehen aus Sicht des DRB keine grundlegenden Bedenken entgegen, da die betreffenden Leistungen der aktuellen Bedarfsdeckung<br />
dienen. Im Hinblick auf übliche Ansparzeiten für größere Anschaffungen aus der Regelleistung könnte indes auch an eine Verkürzung der Frist auf<br />
zwei Jahren gedacht werden. Die in der Begründung angeführten Argumente für die Verkürzung der Präklusionsfrist gelten allerdings auch für<br />
Leistungen nach dem Asylbewerberleistungsgesetz. Auch für diesen Bereich sollte daher das gleiche Verfahrensrecht gelten.<br />
7. Nach § 11 Abs. 1 Satz 2, Abs. 2 und § 11 b Abs. 2 SGB II-E sollen für die Berück-sichtigung von Darlehen als Einkommen neue<br />
Sonderregelungen gelten. Entsprechende Änderungen des SGB XII sind im GE nicht enthalten, <strong>ohne</strong> dass hierfür ein sachlicher Grund ersichtlich<br />
wäre. Auch hier sollten im SGB II und im SGB XII gleiche Regelungen gelten.<br />
Unklar ist im Übrigen, welchen Zweck die generelle Absetzbarkeit von Tilgungsbei-trägen und Zinsen vom (als Einkommen angerechneten)<br />
Darlehen nach § 11 b Abs. 2 SGB II-E verfolgt: Es ist zu befürchten, dass hierdurch die Regelungen über die Berücksichtigung der Darlehen als<br />
Einkommen - insbesondere bei kurzfristigen Darlehen - leerlaufen; hierdurch würde ein unnötiger Bürokratie- und Verfahrensaufwand <strong>ohne</strong><br />
erkennbaren Nutzen verursacht.<br />
8. Zur Einführung einer Satzungsermächtigung zur Regelung der angemessenen Kos-ten der Unterkunft und Heizung:<br />
Mit den §§ 22 a ff. SGB II-E soll den Ländern die Möglichkeit eingeräumt werden, die Kommunen zu ermächtigen, durch Satzung zu bestimmen,<br />
welche Aufwendungen für Unterkunft und Heizung in ihrem Gebiet angemessen sind. Nach der Begründung des GE soll den Ländern und<br />
Kommunen hierdurch die Möglichkeit eröffnet werden, den Basisbedarf für Unterkunft und Heizung transparent und rechtssicher auszugestalten.<br />
Diese Intention des Gesetzgebers begrüßt der DRB. Die gerichtliche Praxis ist mit einer Vielzahl von Verfahren befasst, in denen um die Höhe der<br />
im Einzelfall angemessenen Kosten der Unterkunft und Heizung gestritten wird. Das Bundessozial-gericht (BSG) hat inzwischen in mehreren<br />
Entscheidungen detaillierte Kriterien entwickelt, die ein von den kommunalen Trägern nach § 6 Abs. 1 Satz 1 Nr. 2 SGB II zur Konkretisierung des<br />
Begriffs der "Angemessenheit" nach § 22 Abs. 1 Satz 1 SGB II entwickeltes "schlüssiges Konzept" zu berücksichtigen hat.<br />
Die vorliegenden Regelungsentwürfe enthalten demgegenüber in § 22 c SGB II-E nur sehr allgemeine Anhaltspunkte, welche Kriterien die<br />
Kommunen beim Erlass der Satzungen zu berücksichtigen haben. Insbesondere ist unklar, inwieweit die vom BSG entwickelten Kriterien auch<br />
weiterhin maßgeblich sein sollen. Dies geht zu Las-ten der Rechtssicherheit; es ist daher mit vermehrten Gerichtsverfahren zu der Frage zu rechnen,<br />
welche Kriterien die Satzungsgeber zu beachten haben.<br />
Der DRB plädiert daher dafür, die Grundsätze, nach denen die Ermittlung der angemessenen Kosten der Unterkunft und Heizung vor Ort durch<br />
Satzung zu erfolgen hat, im Gesetz konkreter zu regeln. Zumindest sollte der Bundesgesetzgeber hierfür die Möglichkeit erhalten, entsprechende<br />
Regelungen durch Rechtsverordnung nach § 27 SGB II zu treffen. § 27 SGB II sollte daher nicht aufgehoben werden.<br />
In welchem Umfang von der Satzungsermächtigung Gebrauch gemacht werden wird, kann derzeit nicht abgesehen werden. Es sollten daher auch<br />
Regelungen zu den Grundsätzen der Ermittlung der Angemessenheitswerte für die Fälle getroffen wer-den, in denen entweder keine Satzung<br />
erlassen worden ist, oder diese im Rahmen des Normenkontrollverfahrens nach § 55 a SGG-E für ungültig erklärt worden ist.<br />
9. Zur Einführung eines Normenkontrollverfahrens nach § 55 a SGG-E:<br />
Ziel der Einführung eines Normenkontrollverfahrens zur Überprüfung der Gültigkeit der Satzungen nach § 22 a ff. SGB II ist es, für alle Beteiligten<br />
durch Konzentration der Rechtsstreite auf wenige zentrale Verfahren möglichst zeitnah Rechtssicherheit zu schaffen. Diese Intention des<br />
Gesetzgebers begrüßt der DRB. Derzeit ist die Frage, ob die Leistungen für Unterkunft und Heizung nach § 22 SGB II (KdU) vom jeweiligen<br />
Leistungsträger im Einzelfall in angemessener Höhe bewilligt worden sind, Gegenstand zahlreicher Gerichtsverfahren. Diese sind teilweise mit<br />
einem erheblichen Aufwand verbunden, da ggf. umfangreiches Zahlenmaterial ausgewertet werden muss. Von der künftig möglichen prinzipiellen<br />
Überprüfung von Satzungen der Kommunen zu den angemessenen Kosten der Unterkunft und Heizung ist daher eine Konzentration der<br />
gerichtlichen Überprüfung und damit Entlastung der Gerichtsverfahren zumindest in der ersten Instanz zu erwarten. Die vermehrt zu erwartenden<br />
Normenkontrollverfahren dürften allerdings zu einer Mehrbelastung der Landessozialgerichte führen, die nur durch eine entsprechende personelle<br />
Ausstattung bewältigt werden kann.<br />
Um das mit der Einführung der Satzungslösung mit Normenkontrollverfahren verfolge Ziel zu erreichen, sollten indes noch folgende Punkte<br />
berücksichtigt werden:<br />
a) Die Antragsbefugnis für natürliche Personen sollte auf den Kreis derjenigen Personen begrenzt werden,<br />
aa) deren tatsächliche Kosten der Unterkunft und Heizung wegen Überschreitens der durch die Satzung festgelegten Angemessenheitsgrenzen nicht<br />
voll übernommen werden und die gegen die entsprechenden Bewilligungsbescheide fristgerecht die möglichen Rechtsmittel ergriffen haben oder<br />
bb) die eine Kostensenkungsaufforderung erhalten haben.<br />
Denn nur dieser Personenkreis hat ein schutzwürdiges Interesse an der Überprü-fung der Satzung. Ein Rechtsschutzbedürfnis derjenigen<br />
Leistungsempfänger, die gegen die Bewilligung von abgesenkten KdU kein Rechtmittel ergriffen haben, ist nicht erkennbar. Auch für den von § 22<br />
Abs. 1 Satz 4 SGB II-E erfassten Perso-nenkreis (bei dem eine Absenkung der nach § 22 Abs. 1 Satz 1 SGB II unangemessenen Aufwendungen<br />
nicht gefordert werden muss, wenn diese unter Berücksichtigung der bei einem Wohnungswechsel zu erbringenden Leistungen unwirtschaftlich<br />
wäre) ist kein Rechtsschutzbedürfnis zu erkennen. Erst wenn der Leistungsträger intern in einem konkreten Leistungsfall den Entschluss gefasst hat,<br />
§ 22 Abs. 1 Satz 4 SGB II nicht zu Gunsten des Leistungsempfängers anzuwenden, kann eine konkrete Betroffenheit des Leistungsempfängers<br />
angenommen werden.<br />
Die Ausweitung der Antragsbefugnis auf Personen, die (noch) gar nicht im Leistungsbezug stehen oder von den Regelungen der Satzung gar nicht<br />
betroffen sind, würde zu einer unübersehbaren Ausweitung gerichtlicher Verfahren führen, <strong>ohne</strong> dass hierfür ein sachlicher Grund erkennbar wäre.<br />
b) Die in der Begründung zu Artikel 4 Nummer 4 (§ 55 a SGG) Absatz 2 genannte Ausschlussfrist für die antragsberechtigten Vereinigungen von<br />
153
154<br />
einem Jahr ist dem Gesetzestext nicht zu entnehmen. Im Übrigen sollte diese Frist im Interesse der Rechtssicherheit auf höchstens zwei Monate<br />
nach Bekanntmachung der Satzung verkürzt werden. Im Hinblick darauf, dass die Satzungen nach § 22 c Abs. 2 SGB II-E <strong>ohne</strong>hin nur eine<br />
Gültigkeitsdauer von einem Jahr (Kosten der Heizung) bzw. zwei Jahren (Kosten der Unterkunft) haben, liefe die Frist ansonsten leer. Den<br />
antragsberechtigten Vereinigungen sollte es möglich sein, in diesem zeitlichen Rahmen zu überprüfen, ob sie ein Normenkontrollverfahren nach §<br />
55 a SGG durchführen wollen.<br />
c) Ebenso sollte für natürliche Personen eine kürzere Frist gelten: Verwaltungsakte, mit denen den Leistungsempfängern die KdU bewilligt werden,<br />
können (nur) in-nerhalb eines Monats angefochten werden. Auch für Normenkontrollanträge, mit denen die den Verwaltungsakten zu Grunde<br />
liegenden Satzungen zur Überprüfung gestellt werden, sollten daher auf einen Monat nach Bekanntgabe des auf der Satzung beruhenden<br />
belastenden Verwaltungsakts oder Zugang der auf die Bestimmungen der Satzung beruhenden Kostensenkungsaufforderung befristet werden. Nach<br />
Bestandskraft eines vom Leistungsträgers erlassenen Verwaltungsakts betreffend die KdU ist kein Rechtsschutzinteresse des Leistungsempfängers<br />
an der Überprüfung der dem Verwaltungsakt zu Grunde liegenden Satzung mehr zu erkennen.<br />
d) § 55 a SGG-E ist stark an § 47 VwGO orientiert. Wir weisen darauf hin, dass die Normenkontrollverfahren nach § 55a SGG-E nicht in allen<br />
Punkten den Normen-kontrollverfahren nach § 47 VwGO entsprechen. § 47 VwGO betrifft im Wesentli-chen die Bauleitplanung. Dieser liegt ein<br />
"statischer Prozess" zu Grunde. Die Folge eines Normenkontrollverfahrens ist entweder endgültige Rechtssicherheit über die Geltung der Satzung<br />
für ein bestimmtes Gebiet oder die Verwerfung der Satzung mit der Folge der Nichtbeplanung des Gebiets. Satzungen nach § 22 a SGB II würden<br />
demgegenüber einen "dynamischen Prozess" gestalten: Die dort festgesetzten Werte wären fortlaufend zu überprüfen (§ 22 c Abs. 2 SGB II-E) und<br />
dann - wohl durch eine erneut anfechtbare Satzung - neu festzusetzen. Angesichts der bereits oben angesprochenen langen Anfechtungsfristen<br />
wüssten die Betroffenen - rechnet man die zu erwartende Verfahrensdauer hinzu - erst nach weit über einem Jahr, ob sie eine Wohnung zu<br />
angemessenen Unterkunfts- oder Heizkosten bewohnt haben. Durch die gerichtliche Entscheidung über den Normenkontrollantrag kann damit<br />
keine endgültige Rechtssicherheit geschaffen werden, da die Geltungsdauer der in der Satzung geregelten Werte nach § 22 Abs. 2 SGB II-E in der<br />
Zwischenzeit, d. h. bereits nach einem Jahr (Heizung) bzw. zwei Jahren (Unterkunft), wieder angepasst werden mussten. Dies würde ein erneutes<br />
Normenkontrollverfahren erfordern. Bei Anfechtungsfristen von einem Jahr käme es in der Praxis nie zu einer endgültigen Rechtssicherheit. Die so<br />
im Gesetz an-gelegte fortlaufende Ungewissheit über die Angemessenheit der konkreten KdU ist weder für die Leistungsempfänger, noch für die<br />
Kommunen hinnehmbar.<br />
e) Der GE sieht vor, dass das Gericht die Verhandlung bis zur Erledigung des Antragsverfahrens nach § 55 a aussetzen kann (§ 114 Abs. 2 a SGB II<br />
-E). Eine entsprechende Regelung sollte auch für Widerspruchsverfahren gegen die Bewilligung von abgesenkten KdU (die ausschließlich auf die<br />
Rechtswidrigkeit der Satzung gestützt werden) aufgenommen werden. Denn nach § 88 Abs. 2 SGG wäre der Leistungsträger ansonsten verpflichtet<br />
innerhalb von drei Monaten über einen Widerspruch zu entscheiden. Die Leistungsempfänger sind im Hinblick auf die Verkürzung der<br />
Präklusionsfrist nach § 44 Abs. 4 SGB X auf ein Jahr und der zu erwartenden Dauer der Verfahren nach § 55 a SGG jedenfalls gehalten, gegen die<br />
KdU absenkende Bescheide Widerspruch einzulegen.<br />
f) Im Hinblick auf die Komplexität der Normenkontrollverfahren sollte für diese ein Anwaltszwang eingeführt werden, wie er auch für Verfahren<br />
nach § 47 VwGO gilt, denen das Verfahren nach § 55 a SGG-E nachgebildet ist. Dies würde die mit dem GE verfolgte Zielsetzung nach einer<br />
prinzipiellen und grundsätzlichen Überprüfung der Satzungsregelungen in einem zentralen Normenkontrollverfahren unterstützen. Des Weitren<br />
sollte erwogen werden, abweichend von § 92 SGG einen Begründungszwang für das Antragsverfahren nach § 55 a SGG nebst Ausschlussfrist für<br />
den Eingang der Begründung einzuführen. Dies würde zur Be-schleunigung der Verfahren beitragen und den Beteiligten zügig Rechtssicherheit<br />
über die Gültigkeit der Satzungen gewähren.<br />
g) Die Ergänzung des § 31 SGG-E um die Worte "und für Antragsverfahren nach § 55 a SGG" lässt die Besetzung des Senats betreffend die<br />
ehrenamtlichen Richter offen. Mit der Verweisungsnorm des § 33 SGG (auf § 12 SGG) wird man hier nicht arbeiten können, da das<br />
Landessozialgericht für Verfahren nach § 55 a SGG-E Eingangsinstanz ist. Die Senate für die Normenkotrollverfahren nach § 55 a SGG sollten ggf.<br />
mit einem Vertreter der Kommunen und einem Vertreter der nach § 55 a Abs. 2 Satz 2 und Abs. 3 SGG antragsbefugten Verbände besetzt werden.<br />
Dies würde dem für das Vertragsarztrecht in § 12 Abs. 3 SGG niedergelegten Sachkundegedanken entsprechen.<br />
h) Unklar ist bislang, nach welchen materiell-rechtlichen Kriterien die Angemessenheit auf KdU beurteilt werden sollen, wenn die Satzung durch<br />
das Landessozialgericht für ungültig erklärt worden ist (oder gar keine Satzung erlassen wurde). Auf die in § 22 c SGB II niedergelegten Kriterien<br />
könnte in diesen Fällen wohl nicht zurückgegriffen werden, da diese nur für die Satzung selbst gelten. Hier fehlt - insbesondere auch im<br />
Unterschied zur Bauleitplanung - eine gesetzliche Regelung. Diese Lücke sollte geschlossen werden.<br />
10. Zum Auseinanderfallen der Regeln über die Festsetzung der Angemessenheitsgren-zen für Kosten der Unterkunft und Heizung von SGB II und<br />
SGB XII:<br />
Bislang galten für die KdU in SGB II und SGB XII einheitliche Kriterien (BSG, Urteil vom 23.03.2010 - B 8 SO 24/08 R). Hinsichtlich der KdU<br />
im SGB XII sieht der GE indes keine Satzungsermächtigung vor. Es besteht daher die Gefahr - auf unterschiedliche Grundsätze der Bemessung der<br />
jeweiligen Werte gestützter - widersprüchlicher Entscheidungen zu den in Satzungen festgelegten Angemessenheitswerten im SGB II und im SGB<br />
XII. Die KdU müssten dann für beide Bereiche nach unterschiedlichen Maßstäben festgesetzt werden. Insbesondere bei sog. gemischten<br />
Bedarfsgemeinschaften würde dies zu sachwidrigen Ergebnissen führen. Es sollte daher eine einheitliche Regelung zu den KdU in SGB II und SGB<br />
XII erfolgen.<br />
gez. Dr. Bernhard Joachim Scholz, Mitglied des Präsidiums
Nichtamtliches Inhaltsverzeichnis<br />
BDSG<br />
Ausfertigungsdatum: 20.12.1990<br />
Vollzitat:<br />
Bundesdatenschutzgesetz (BDSG)<br />
"Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), das zuletzt<br />
durch Artikel 1 des Gesetzes vom 14. August 2009 (BGBl. I S. 2814) geändert worden ist"<br />
Stand: Neugefasst durch Bek. v. 14.1.2003 I 66;<br />
Zuletzt geändert durch Art. 1 G v. 14.8.2009 I 2814<br />
Näheres zur Standangabe finden Sie im Menü unter Hinweise<br />
Fußnote<br />
Textnachweis ab: 1.6.1991<br />
Das G wurde als Art. 1 des G v. 20.12.1990 I 2954 vom Bundestag mit Zustimmung des Bundesrates beschlossen; § 10 Abs.<br />
4 Satz 3 und 4 ist am ersten Tage des vierundzwanzigsten auf die Verkündung folgenden Kalendermonats, im übrigen am<br />
ersten Tage des sechsten auf die Verkündung folgenden Kalendermonats gem. Art. 6 Abs. 2 Satz 1 u. 2 G v. 20.12.1990 I<br />
2954 in Kraft getreten. Das G wurde am 29.12.1990 verkündet.<br />
Nichtamtliches Inhaltsverzeichnis<br />
Inhaltsübersicht<br />
Erster Abschnitt<br />
Allgemeine und gemeinsame Bestimmungen<br />
§ 1 Zweck und Anwendungsbereich des Gesetzes<br />
§ 2 Öffentliche und nicht öffentliche Stellen<br />
§ 3 Weitere Begriffsbestimmungen<br />
§ 3a <strong>Daten</strong>vermeidung und <strong>Daten</strong>sparsamkeit<br />
§ 4 Zulässigkeit der <strong>Daten</strong>erhebung, -verarbeitung und -nutzung<br />
§ 4a Einwilligung<br />
§ 4b Übermittlung personenbezogener <strong>Daten</strong> ins Ausland sowie an über- und zwischenstaatliche Stellen<br />
§ 4c Ausnahmen<br />
§ 4d Meldepflicht<br />
§ 4e Inhalt der Meldepflicht<br />
§ 4f Beauftragter für den <strong>Daten</strong>schutz<br />
§ 4g Aufgaben des Beauftragten für den <strong>Daten</strong>schutz<br />
§ 5 <strong>Daten</strong>geheimnis<br />
§ 6 Rechte des Betroffenen<br />
§ 6a Automatisierte Einzelentscheidung<br />
§ 6b Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen<br />
§ 6c Mobile personenbezogene Speicher- und Verarbeitungsmedien<br />
§ 7 Schadensersatz<br />
§ 8 Schadensersatz bei automatisierter <strong>Daten</strong>verarbeitung durch öffentliche Stellen<br />
§ 9 Technische und organisatorische Maßnahmen<br />
§ 9a <strong>Daten</strong>schutzaudit<br />
§ 10 Einrichtung automatisierter Abrufverfahren<br />
§ 11 Erhebung, Verarbeitung oder Nutzung personenbezogener <strong>Daten</strong> im Auftrag<br />
Zweiter Abschnitt<br />
<strong>Daten</strong>verarbeitung der öffentlichen Stellen<br />
Erster Unterabschnitt<br />
Rechtsgrundlagen der <strong>Daten</strong>verarbeitung<br />
§ 12 Anwendungsbereich<br />
155
156<br />
§ 13 <strong>Daten</strong>erhebung<br />
§ 14 <strong>Daten</strong>speicherung, -veränderung und -nutzung<br />
§ 15 <strong>Daten</strong>übermittlung an öffentliche Stellen<br />
§ 16 <strong>Daten</strong>übermittlung an nicht öffentliche Stellen<br />
§ 17 (weggefallen)<br />
§ 18 Durchführung des <strong>Daten</strong>schutzes in der Bundesverwaltung<br />
Zweiter Unterabschnitt<br />
Rechte des Betroffenen<br />
§ 19 Auskunft an den Betroffenen<br />
§ 19a Benachrichtigung<br />
§ 20 Berichtigung, Löschung und Sperrung von <strong>Daten</strong>; Widerspruchsrecht<br />
§ 21 Anrufung des Bundesbeauftragten für den <strong>Daten</strong>schutz und die Informationsfreiheit<br />
Dritter Unterabschnitt<br />
Bundesbeauftragter für den <strong>Daten</strong>schutz und die Informationsfreiheit<br />
§ 22 Wahl des Bundesbeauftragten für den <strong>Daten</strong>schutz und die Informationsfreiheit<br />
§ 23 Rechtsstellung des Bundesbeauftragten für den <strong>Daten</strong>schutz und die Informationsfreiheit<br />
§ 24 Kontrolle durch den Bundesbeauftragten für den <strong>Daten</strong>schutz und die Informationsfreiheit<br />
§ 25 Beanstandungen durch den Bundesbeauftragten für den <strong>Daten</strong>schutz und die Informationsfreiheit<br />
§ 26 Weitere Aufgaben des Bundesbeauftragten für den <strong>Daten</strong>schutz und die Informationsfreiheit<br />
Dritter Abschnitt<br />
<strong>Daten</strong>verarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen<br />
Erster Unterabschnitt<br />
Rechtsgrundlagen der <strong>Daten</strong>verarbeitung<br />
§ 27 Anwendungsbereich<br />
§ 28 <strong>Daten</strong>erhebung und -speicherung für eigene Geschäftszwecke<br />
§ 28a <strong>Daten</strong>übermittlung an Auskunfteien<br />
§ 28b Scoring<br />
§ 29 Geschäftsmäßige <strong>Daten</strong>erhebung und -speicherung zum Zweck der Übermittlung<br />
§ 30 Geschäftsmäßige <strong>Daten</strong>erhebung und -speicherung zum Zweck der Übermittlung in anonymisierter<br />
Form<br />
§ 30a Geschäftsmäßige <strong>Daten</strong>erhebung und -speicherung für Zwecke der Markt- oder Meinungsforschung<br />
§ 31 Besondere Zweckbindung<br />
§ 32 <strong>Daten</strong>erhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses<br />
Zweiter Unterabschnitt<br />
Rechte des Betroffenen<br />
§ 33 Benachrichtigung des Betroffenen<br />
§ 34 Auskunft an den Betroffenen<br />
§ 35 Berichtigung, Löschung und Sperrung von <strong>Daten</strong><br />
Dritter Unterabschnitt<br />
Aufsichtsbehörde<br />
§§ 36 und 37 (weggefallen)<br />
§ 38 Aufsichtsbehörde<br />
§ 38a Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen<br />
Vierter Abschnitt<br />
Sondervorschriften<br />
§ 39 Zweckbindung bei personenbezogenen <strong>Daten</strong>, die einem Berufs- oder besonderen Amtsgeheimnis<br />
unterliegen<br />
§ 40 Verarbeitung und Nutzung personenbezogener <strong>Daten</strong> durch Forschungseinrichtungen<br />
§ 41 Erhebung, Verarbeitung und Nutzung personenbezogener <strong>Daten</strong> durch die Medien<br />
§ 42 <strong>Daten</strong>schutzbeauftragter der Deutschen Welle<br />
§ 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von <strong>Daten</strong><br />
Fünfter Abschnitt<br />
Schlussvorschriften<br />
§ 43 Bußgeldvorschriften<br />
§ 44 Strafvorschriften<br />
Sechster Abschnitt<br />
Übergangsvorschriften<br />
§ 45 Laufende Verwendungen<br />
§ 46 Weitergeltung von Begriffsbestimmungen<br />
§ 47 Übergangsregelung<br />
§ 48 Bericht der Bundesregierung<br />
Anlage (zu § 9 Satz 1)
Nichtamtliches Inhaltsverzeichnis<br />
(1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen<br />
personenbezogenen <strong>Daten</strong> in seinem Persönlichkeitsrecht beeinträchtigt wird.<br />
(2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener <strong>Daten</strong> durch<br />
1. öffentliche Stellen des Bundes,<br />
2. öffentliche Stellen der Länder, soweit der <strong>Daten</strong>schutz nicht durch Landesgesetz geregelt ist und soweit sie<br />
a) Bundesrecht ausführen oder<br />
b) als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt,<br />
3. nicht-öffentliche Stellen, soweit sie die <strong>Daten</strong> unter Einsatz von <strong>Daten</strong>verarbeitungsanlagen verarbeiten,<br />
nutzen oder dafür erheben oder die <strong>Daten</strong> in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder<br />
dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der <strong>Daten</strong> erfolgt ausschließlich für<br />
persönliche oder familiäre Tätigkeiten.<br />
(3) Soweit andere Rechtsvorschriften des Bundes auf personenbezogene <strong>Daten</strong> einschließlich deren Veröffentlichung<br />
anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher<br />
Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften<br />
beruhen, bleibt unberührt.<br />
(4) Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung<br />
des Sachverhalts personenbezogene <strong>Daten</strong> verarbeitet werden.<br />
(5) Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in<br />
einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle<br />
personenbezogene <strong>Daten</strong> im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung<br />
im Inland. Dieses Gesetz findet Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der<br />
Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum<br />
belegen ist, personenbezogene <strong>Daten</strong> im Inland erhebt, verarbeitet oder nutzt. Soweit die verantwortliche Stelle nach<br />
diesem Gesetz zu nennen ist, sind auch Angaben über im Inland ansässige Vertreter zu machen. Die Sätze 2 und 3<br />
gelten nicht, sofern <strong>Daten</strong>träger nur zum Zweck des Transits durch das Inland eingesetzt werden. § 38 Abs. 1 Satz 1<br />
bleibt unberührt.<br />
Nichtamtliches Inhaltsverzeichnis<br />
1. sie über den Bereich eines Landes hinaus tätig werden oder<br />
2. dem Bund die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht.<br />
Andernfalls gelten sie als öffentliche Stellen der Länder.<br />
(4) Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere<br />
Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nichtöffentliche<br />
Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne<br />
dieses Gesetzes.<br />
Nichtamtliches Inhaltsverzeichnis<br />
1.<br />
Erster Abschnitt<br />
Allgemeine und gemeinsame Bestimmungen<br />
§ 1 Zweck und Anwendungsbereich des Gesetzes<br />
§ 2 Öffentliche und nicht-öffentliche Stellen<br />
(1) Öffentliche Stellen des Bundes sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich<br />
organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des<br />
öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform. Als öffentliche Stellen gelten die aus dem<br />
Sondervermögen Deutsche Bundespost durch Gesetz hervorgegangenen Unternehmen, solange ihnen ein<br />
ausschließliches Recht nach dem Postgesetz zusteht.<br />
(2) Öffentliche Stellen der Länder sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich<br />
organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes und sonstiger der Aufsicht des<br />
Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer<br />
Rechtsform.<br />
(3) Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder, die Aufgaben der<br />
öffentlichen Verwaltung wahrnehmen, gelten ungeachtet der Beteiligung nicht-öffentlicher Stellen als öffentliche Stellen<br />
des Bundes, wenn<br />
§ 3 Weitere Begriffsbestimmungen<br />
(1) Personenbezogene <strong>Daten</strong> sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder<br />
bestimmbaren natürlichen Person (Betroffener).<br />
(2) Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener <strong>Daten</strong> unter Einsatz<br />
von <strong>Daten</strong>verarbeitungsanlagen. Eine nicht automatisierte Datei ist jede nicht automatisierte Sammlung<br />
personenbezogener <strong>Daten</strong>, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und<br />
ausgewertet werden kann.<br />
(3) Erheben ist das Beschaffen von <strong>Daten</strong> über den Betroffenen.<br />
(4) Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener <strong>Daten</strong>. Im<br />
Einzelnen ist, ungeachtet der dabei angewendeten Verfahren:<br />
157
158<br />
Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener <strong>Daten</strong> auf einem <strong>Daten</strong>träger<br />
zum Zwecke ihrer weiteren Verarbeitung oder Nutzung,<br />
2. Verändern das inhaltliche Umgestalten gespeicherter personenbezogener <strong>Daten</strong>,<br />
3. Übermitteln das Bekanntgeben gespeicherter oder durch <strong>Daten</strong>verarbeitung gewonnener personenbezogener<br />
<strong>Daten</strong> an einen Dritten in der Weise, dass<br />
a) die <strong>Daten</strong> an den Dritten weitergegeben werden oder<br />
b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene <strong>Daten</strong> einsieht oder abruft,<br />
4. Sperren das Kennzeichnen gespeicherter personenbezogener <strong>Daten</strong>, um ihre weitere Verarbeitung oder<br />
Nutzung einzuschränken,<br />
5. Löschen das Unkenntlichmachen gespeicherter personenbezogener <strong>Daten</strong>.<br />
(5) Nutzen ist jede Verwendung personenbezogener <strong>Daten</strong>, soweit es sich nicht um Verarbeitung handelt.<br />
(6) Anonymisieren ist das Verändern personenbezogener <strong>Daten</strong> derart, dass die Einzelangaben über persönliche oder<br />
sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und<br />
Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.<br />
(6a) Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu<br />
dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.<br />
(7) Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene <strong>Daten</strong> für sich selbst erhebt, verarbeitet<br />
oder nutzt oder dies durch andere im Auftrag vornehmen lässt.<br />
(8) Empfänger ist jede Person oder Stelle, die <strong>Daten</strong> erhält. Dritter ist jede Person oder Stelle außerhalb der<br />
verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen<br />
Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen<br />
Wirtschaftsraum personenbezogene <strong>Daten</strong> im Auftrag erheben, verarbeiten oder nutzen.<br />
(9) Besondere Arten personenbezogener <strong>Daten</strong> sind Angaben über die rassische und ethnische Herkunft, politische<br />
Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.<br />
(10) Mobile personenbezogene Speicher- und Verarbeitungsmedien sind <strong>Daten</strong>träger,<br />
1. die an den Betroffenen ausgegeben werden,<br />
2. auf denen personenbezogene <strong>Daten</strong> über die Speicherung hinaus durch die ausgebende oder eine andere<br />
Stelle automatisiert verarbeitet werden können und<br />
3. bei denen der Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums beeinflussen kann.<br />
(11) Beschäftigte sind:<br />
1. Arbeitnehmerinnen und Arbeitnehmer,<br />
2. zu ihrer Berufsbildung Beschäftigte,<br />
3. Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der<br />
beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),<br />
4. in anerkannten Werkstätten für behinderte Menschen Beschäftigte,<br />
5. nach dem Jugendfreiwilligendienstegesetz Beschäftigte,<br />
6. Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen<br />
sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,<br />
7. Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren<br />
Beschäftigungsverhältnis beendet ist,<br />
8. Beamtinnen, Beamte, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie<br />
Zivildienstleistende.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 3a <strong>Daten</strong>vermeidung und <strong>Daten</strong>sparsamkeit<br />
Die Erhebung, Verarbeitung und Nutzung personenbezogener <strong>Daten</strong> und die Auswahl und Gestaltung von<br />
<strong>Daten</strong>verarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene <strong>Daten</strong> wie möglich zu<br />
erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene <strong>Daten</strong> zu anonymisieren oder zu<br />
pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem<br />
angestrebten <strong>Schutz</strong>zweck unverhältnismäßigen Aufwand erfordert.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 4 Zulässigkeit der <strong>Daten</strong>erhebung, -verarbeitung und -nutzung<br />
(1) Die Erhebung, Verarbeitung und Nutzung personenbezogener <strong>Daten</strong> sind nur zulässig, soweit dieses Gesetz oder<br />
eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.<br />
(2) Personenbezogene <strong>Daten</strong> sind beim Betroffenen zu erheben. Ohne seine Mitwirkung dürfen sie nur erhoben<br />
werden, wenn<br />
1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder<br />
2. a) die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder der Geschäftszweck eine Erhebung bei<br />
anderen Personen oder Stellen erforderlich macht oder<br />
b) die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde
und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen<br />
beeinträchtigt werden.<br />
(3) Werden personenbezogene <strong>Daten</strong> beim Betroffenen erhoben, so ist er, sofern er nicht bereits auf andere Weise<br />
Kenntnis erlangt hat, von der verantwortlichen Stelle über<br />
1. die Identität der verantwortlichen Stelle,<br />
2. die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung und<br />
3. die Kategorien von Empfängern nur, soweit der Betroffene nach den Umständen des Einzelfalles nicht mit der<br />
Übermittlung an diese rechnen muss,<br />
zu unterrichten. Werden personenbezogene <strong>Daten</strong> beim Betroffenen aufgrund einer Rechtsvorschrift erhoben, die zur<br />
Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist<br />
der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. Soweit nach den Umständen des<br />
Einzelfalles erforderlich oder auf Verlangen, ist er über die Rechtsvorschrift und über die Folgen der Verweigerung von<br />
Angaben aufzuklären.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 4a Einwilligung<br />
(1) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den<br />
vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles<br />
erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf<br />
der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung<br />
zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben.<br />
(2) Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand im Sinne von Absatz 1 Satz 3 auch<br />
dann vor, wenn durch die Schriftform der bestimmte Forschungszweck erheblich beeinträchtigt würde. In diesem Fall<br />
sind der Hinweis nach Absatz 1 Satz 2 und die Gründe, aus denen sich die erhebliche Beeinträchtigung des<br />
bestimmten Forschungszwecks ergibt, schriftlich festzuhalten.<br />
(3) Soweit besondere Arten personenbezogener <strong>Daten</strong> (§ 3 Abs. 9) erhoben, verarbeitet oder genutzt werden, muss<br />
sich die Einwilligung darüber hinaus ausdrücklich auf diese <strong>Daten</strong> beziehen.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 4b Übermittlung personenbezogener <strong>Daten</strong> ins Ausland sowie an über- oder zwischenstaatliche Stellen<br />
(1) Für die Übermittlung personenbezogener <strong>Daten</strong> an Stellen<br />
1. in anderen Mitgliedstaaten der Europäischen Union,<br />
2. in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum oder<br />
3. der Organe und Einrichtungen der Europäischen Gemeinschaften<br />
gelten § 15 Abs. 1, § 16 Abs. 1 und §§ 28 bis 30a nach Maßgabe der für diese Übermittlung geltenden Gesetze und<br />
Vereinbarungen, soweit die Übermittlung im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den<br />
Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen.<br />
(2) Für die Übermittlung personenbezogener <strong>Daten</strong> an Stellen nach Absatz 1, die nicht im Rahmen von Tätigkeiten<br />
erfolgt, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen, sowie<br />
an sonstige ausländische oder über- oder zwischenstaatliche Stellen gilt Absatz 1 entsprechend. Die Übermittlung<br />
unterbleibt, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere<br />
wenn bei den in Satz 1 genannten Stellen ein angemessenes <strong>Daten</strong>schutzniveau nicht gewährleistet ist. Satz 2 gilt<br />
nicht, wenn die Übermittlung zur Erfüllung eigener Aufgaben einer öffentlichen Stelle des Bundes aus zwingenden<br />
Gründen der Verteidigung oder der Erfüllung über- oder zwischenstaatlicher Verpflichtungen auf dem Gebiet der<br />
Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Maßnahmen erforderlich ist.<br />
(3) Die Angemessenheit des <strong>Schutz</strong>niveaus wird unter Berücksichtigung aller Umstände beurteilt, die bei einer<br />
<strong>Daten</strong>übermittlung oder einer Kategorie von <strong>Daten</strong>übermittlungen von Bedeutung sind; insbesondere können die Art<br />
der <strong>Daten</strong>, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das<br />
Endbestimmungsland, die für den betreffenden Empfänger geltenden Rechtsnormen sowie die für ihn geltenden<br />
Standesregeln und Sicherheitsmaßnahmen herangezogen werden.<br />
(4) In den Fällen des § 16 Abs. 1 Nr. 2 unterrichtet die übermittelnde Stelle den Betroffenen von der Übermittlung seiner<br />
<strong>Daten</strong>. Dies gilt nicht, wenn damit zu rechnen ist, dass er davon auf andere Weise Kenntnis erlangt, oder wenn die<br />
Unterrichtung die öffentliche Sicherheit gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile<br />
bereiten würde.<br />
(5) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.<br />
(6) Die Stelle, an die die <strong>Daten</strong> übermittelt werden, ist auf den Zweck hinzuweisen, zu dessen Erfüllung die <strong>Daten</strong><br />
übermittelt werden.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 4c Ausnahmen<br />
(1) Im Rahmen von Tätigkeiten, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen<br />
Gemeinschaften fallen, ist eine Übermittlung personenbezogener <strong>Daten</strong> an andere als die in § 4b Abs. 1 genannten<br />
Stellen, auch wenn bei ihnen ein angemessenes <strong>Daten</strong>schutzniveau nicht gewährleistet ist, zulässig, sofern<br />
1. der Betroffene seine Einwilligung gegeben hat,<br />
2.<br />
159
160<br />
die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle<br />
oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen<br />
worden sind, erforderlich ist,<br />
3. die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des<br />
Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden<br />
soll,<br />
4. die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung<br />
oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist,<br />
5. die Übermittlung für die Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist oder<br />
6. die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist und entweder<br />
der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur<br />
Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind.<br />
Die Stelle, an die die <strong>Daten</strong> übermittelt werden, ist darauf hinzuweisen, dass die übermittelten <strong>Daten</strong> nur zu dem Zweck<br />
verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie übermittelt werden.<br />
(2) Unbeschadet des Absatzes 1 Satz 1 kann die zuständige Aufsichtsbehörde einzelne Übermittlungen oder<br />
bestimmte Arten von Übermittlungen personenbezogener <strong>Daten</strong> an andere als die in § 4b Abs. 1 genannten Stellen<br />
genehmigen, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des <strong>Schutz</strong>es des<br />
Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist; die Garantien können sich<br />
insbesondere aus Vertragsklauseln oder verbindlichen Unternehmensregelungen ergeben. Bei den Post- und<br />
Telekommunikationsunternehmen ist der Bundesbeauftragte für den <strong>Daten</strong>schutz und die Informationsfreiheit<br />
zuständig. Sofern die Übermittlung durch öffentliche Stellen erfolgen soll, nehmen diese die Prüfung nach Satz 1 vor.<br />
(3) Die Länder teilen dem Bund die nach Absatz 2 Satz 1 ergangenen Entscheidungen mit.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 4d Meldepflicht<br />
(1) Verfahren automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme von nicht-öffentlichen verantwortlichen<br />
Stellen der zuständigen Aufsichtsbehörde und von öffentlichen verantwortlichen Stellen des Bundes sowie von den<br />
Post- und Telekommunikationsunternehmen dem Bundesbeauftragten für den <strong>Daten</strong>schutz und die Informationsfreiheit<br />
nach Maßgabe von § 4e zu melden.<br />
(2) Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Beauftragten für den <strong>Daten</strong>schutz bestellt hat.<br />
(3) Die Meldepflicht entfällt ferner, wenn die verantwortliche Stelle personenbezogene <strong>Daten</strong> für eigene Zwecke erhebt,<br />
verarbeitet oder nutzt, hierbei in der Regel höchstens neun Personen ständig mit der Erhebung, Verarbeitung oder<br />
Nutzung personenbezogener <strong>Daten</strong> beschäftigt und entweder eine Einwilligung des Betroffenen vorliegt oder die<br />
Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen<br />
oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.<br />
(4) Die Absätze 2 und 3 gelten nicht, wenn es sich um automatisierte Verarbeitungen handelt, in denen geschäftsmäßig<br />
personenbezogene <strong>Daten</strong> von der jeweiligen Stelle<br />
1. zum Zweck der Übermittlung,<br />
2. zum Zweck der anonymisierten Übermittlung oder<br />
3. für Zwecke der Markt- oder Meinungsforschung<br />
gespeichert werden.<br />
(5) Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen,<br />
unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere<br />
durchzuführen, wenn<br />
1. besondere Arten personenbezogener <strong>Daten</strong> (§ 3 Abs. 9) verarbeitet werden oder<br />
2. die Verarbeitung personenbezogener <strong>Daten</strong> dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten<br />
einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens,<br />
es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung,<br />
Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder<br />
rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.<br />
(6) Zuständig für die Vorabkontrolle ist der Beauftragte für den <strong>Daten</strong>schutz. Dieser nimmt die Vorabkontrolle nach<br />
Empfang der Übersicht nach § 4g Abs. 2 Satz 1 vor. Er hat sich in Zweifelsfällen an die Aufsichtsbehörde oder bei den<br />
Post- und Telekommunikationsunternehmen an den Bundesbeauftragten für den <strong>Daten</strong>schutz und die<br />
Informationsfreiheit zu wenden.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 4e Inhalt der Meldepflicht<br />
Sofern Verfahren automatisierter Verarbeitungen meldepflichtig sind, sind folgende Angaben zu machen:<br />
1. Name oder Firma der verantwortlichen Stelle,<br />
2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens<br />
berufene Leiter und die mit der Leitung der <strong>Daten</strong>verarbeitung beauftragten Personen,<br />
3. Anschrift der verantwortlichen Stelle,<br />
4. Zweckbestimmungen der <strong>Daten</strong>erhebung, -verarbeitung oder -nutzung,<br />
5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen <strong>Daten</strong> oder <strong>Daten</strong>kategorien,
6.<br />
7.<br />
8.<br />
9.<br />
Empfänger oder Kategorien von Empfängern, denen die <strong>Daten</strong> mitgeteilt werden können,<br />
Regelfristen für die Löschung der <strong>Daten</strong>,<br />
eine geplante <strong>Daten</strong>übermittlung in Drittstaaten,<br />
eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur<br />
Gewährleistung der Sicherheit der Verarbeitung angemessen sind.<br />
§ 4d Abs. 1 und 4 gilt für die Änderung der nach Satz 1 mitgeteilten Angaben sowie für den Zeitpunkt der Aufnahme<br />
und der Beendigung der meldepflichtigen Tätigkeit entsprechend.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 4f Beauftragter für den <strong>Daten</strong>schutz<br />
(1) Öffentliche und nicht öffentliche Stellen, die personenbezogene <strong>Daten</strong> automatisiert verarbeiten, haben einen<br />
Beauftragten für den <strong>Daten</strong>schutz schriftlich zu bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb<br />
eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene <strong>Daten</strong> auf andere<br />
Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Die<br />
Sätze 1 und 2 gelten nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der<br />
automatisierten Verarbeitung personenbezogener <strong>Daten</strong> beschäftigen. Soweit aufgrund der Struktur einer öffentlichen<br />
Stelle erforderlich, genügt die Bestellung eines Beauftragten für den <strong>Daten</strong>schutz für mehrere Bereiche. Soweit nichtöffentliche<br />
Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder<br />
personenbezogene <strong>Daten</strong> geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für<br />
Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit<br />
der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den <strong>Daten</strong>schutz zu bestellen.<br />
(2) Zum Beauftragten für den <strong>Daten</strong>schutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche<br />
Fachkunde und Zuverlässigkeit besitzt. Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem<br />
Umfang der <strong>Daten</strong>verarbeitung der verantwortlichen Stelle und dem <strong>Schutz</strong>bedarf der personenbezogenen <strong>Daten</strong>, die<br />
die verantwortliche Stelle erhebt oder verwendet. Zum Beauftragten für den <strong>Daten</strong>schutz kann auch eine Person<br />
außerhalb der verantwortlichen Stelle bestellt werden; die Kontrolle erstreckt sich auch auf personenbezogene <strong>Daten</strong>,<br />
die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der<br />
Abgabenordnung, unterliegen. Öffentliche Stellen können mit Zustimmung ihrer Aufsichtsbehörde einen Bediensteten<br />
aus einer anderen öffentlichen Stelle zum Beauftragten für den <strong>Daten</strong>schutz bestellen.<br />
(3) Der Beauftragte für den <strong>Daten</strong>schutz ist dem Leiter der öffentlichen oder nicht-öffentlichen Stelle unmittelbar zu<br />
unterstellen. Er ist in Ausübung seiner Fachkunde auf dem Gebiet des <strong>Daten</strong>schutzes weisungsfrei. Er darf wegen der<br />
Erfüllung seiner Aufgaben nicht benachteiligt werden. Die Bestellung zum Beauftragten für den <strong>Daten</strong>schutz kann in<br />
entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuches, bei nicht-öffentlichen Stellen auch auf<br />
Verlangen der Aufsichtsbehörde, widerrufen werden. Ist nach Absatz 1 ein Beauftragter für den <strong>Daten</strong>schutz zu<br />
bestellen, so ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, welche die<br />
verantwortliche Stelle zur Kündigung aus wichtigem Grund <strong>ohne</strong> Einhaltung einer Kündigungsfrist berechtigen. Nach<br />
der Abberufung als Beauftragter für den <strong>Daten</strong>schutz ist die Kündigung innerhalb eines Jahres nach der Beendigung<br />
der Bestellung unzulässig, es sei denn, dass die verantwortliche Stelle zur Kündigung aus wichtigem Grund <strong>ohne</strong><br />
Einhaltung einer Kündigungsfrist berechtigt ist. Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen<br />
Fachkunde hat die verantwortliche Stelle dem Beauftragten für den <strong>Daten</strong>schutz die Teilnahme an Fort- und<br />
Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen.<br />
(4) Der Beauftragte für den <strong>Daten</strong>schutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über<br />
Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen<br />
befreit wird.<br />
(4a) Soweit der Beauftragte für den <strong>Daten</strong>schutz bei seiner Tätigkeit Kenntnis von <strong>Daten</strong> erhält, für die dem Leiter oder<br />
einer bei der öffentlichen oder nichtöffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein<br />
Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch dem Beauftragten für den <strong>Daten</strong>schutz und dessen<br />
Hilfspersonal zu. Über die Ausübung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus<br />
beruflichen Gründen zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden<br />
kann. Soweit das Zeugnisverweigerungsrecht des Beauftragten für den <strong>Daten</strong>schutz reicht, unterliegen seine Akten<br />
und andere Schriftstücke einem Beschlagnahmeverbot.<br />
(5) Die öffentlichen und nicht-öffentlichen Stellen haben den Beauftragten für den <strong>Daten</strong>schutz bei der Erfüllung seiner<br />
Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist,<br />
Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Betroffene können sich jederzeit<br />
an den Beauftragten für den <strong>Daten</strong>schutz wenden.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 4g Aufgaben des Beauftragten für den <strong>Daten</strong>schutz<br />
(1) Der Beauftragte für den <strong>Daten</strong>schutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den<br />
<strong>Daten</strong>schutz hin. Zu diesem Zweck kann sich der Beauftragte für den <strong>Daten</strong>schutz in Zweifelsfällen an die für die<br />
<strong>Daten</strong>schutzkontrolle bei der verantwortlichen Stelle zuständige Behörde wenden. Er kann die Beratung nach § 38 Abs.<br />
1 Satz 2 in Anspruch nehmen. Er hat insbesondere<br />
1. die ordnungsgemäße Anwendung der <strong>Daten</strong>verarbeitungsprogramme, mit deren Hilfe personenbezogene<br />
<strong>Daten</strong> verarbeitet werden sollen, zu überwachen; zu diesem Zweck ist er über Vorhaben der automatisierten<br />
Verarbeitung personenbezogener <strong>Daten</strong> rechtzeitig zu unterrichten,<br />
2. die bei der Verarbeitung personenbezogener <strong>Daten</strong> tätigen Personen durch geeignete Maßnahmen mit den<br />
Vorschriften dieses Gesetzes sowie anderen Vorschriften über den <strong>Daten</strong>schutz und mit den jeweiligen<br />
besonderen Erfordernissen des <strong>Daten</strong>schutzes vertraut zu machen.<br />
161
162<br />
(2) Dem Beauftragten für den <strong>Daten</strong>schutz ist von der verantwortlichen Stelle eine Übersicht über die in § 4e Satz 1<br />
genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. Der Beauftragte für den<br />
<strong>Daten</strong>schutz macht die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar.<br />
(2a) Soweit bei einer nichtöffentlichen Stelle keine Verpflichtung zur Bestellung eines Beauftragten für den <strong>Daten</strong>schutz<br />
besteht, hat der Leiter der nichtöffentlichen Stelle die Erfüllung der Aufgaben nach den Absätzen 1 und 2 in anderer<br />
Weise sicherzustellen.<br />
(3) Auf die in § 6 Abs. 2 Satz 4 genannten Behörden findet Absatz 2 Satz 2 keine Anwendung. Absatz 1 Satz 2 findet<br />
mit der Maßgabe Anwendung, dass der behördliche Beauftragte für den <strong>Daten</strong>schutz das Benehmen mit dem<br />
Behördenleiter herstellt; bei Unstimmigkeiten zwischen dem behördlichen Beauftragten für den <strong>Daten</strong>schutz und dem<br />
Behördenleiter entscheidet die oberste Bundesbehörde.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 5 <strong>Daten</strong>geheimnis<br />
Den bei der <strong>Daten</strong>verarbeitung beschäftigten Personen ist untersagt, personenbezogene <strong>Daten</strong> unbefugt zu erheben,<br />
zu verarbeiten oder zu nutzen (<strong>Daten</strong>geheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen<br />
beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das <strong>Daten</strong>geheimnis zu verpflichten. Das <strong>Daten</strong>geheimnis<br />
besteht auch nach Beendigung ihrer Tätigkeit fort.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 6 Rechte des Betroffenen<br />
(1) Die Rechte des Betroffenen auf Auskunft (§§ 19, 34) und auf Berichtigung, Löschung oder Sperrung (§§ 20, 35)<br />
können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden.<br />
(2) Sind die <strong>Daten</strong> des Betroffenen automatisiert in der Weise gespeichert, dass mehrere Stellen<br />
speicherungsberechtigt sind, und ist der Betroffene nicht in der Lage festzustellen, welche Stelle die <strong>Daten</strong> gespeichert<br />
hat, so kann er sich an jede dieser Stellen wenden. Diese ist verpflichtet, das Vorbringen des Betroffenen an die Stelle,<br />
die die <strong>Daten</strong> gespeichert hat, weiterzuleiten. Der Betroffene ist über die Weiterleitung und jene Stelle zu unterrichten.<br />
Die in § 19 Abs. 3 genannten Stellen, die Behörden der Staatsanwaltschaft und der Polizei sowie öffentliche Stellen der<br />
Finanzverwaltung, soweit sie personenbezogene <strong>Daten</strong> in Erfüllung ihrer gesetzlichen Aufgaben im<br />
Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern, können statt des Betroffenen den<br />
Bundesbeauftragten für den <strong>Daten</strong>schutz und die Informationsfreiheit unterrichten. In diesem Fall richtet sich das<br />
weitere Verfahren nach § 19 Abs. 6.<br />
(3) Personenbezogene <strong>Daten</strong> über die Ausübung eines Rechts des Betroffenen, das sich aus diesem Gesetz oder aus<br />
einer anderen Vorschrift über den <strong>Daten</strong>schutz ergibt, dürfen nur zur Erfüllung der sich aus der Ausübung des Rechts<br />
ergebenden Pflichten der verantwortlichen Stelle verwendet werden.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 6a Automatisierte Einzelentscheidung<br />
(1) Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen,<br />
dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener <strong>Daten</strong> gestützt werden, die der<br />
Bewertung einzelner Persönlichkeitsmerkmale dienen. Eine ausschließlich auf eine automatisierte Verarbeitung<br />
gestützte Entscheidung liegt insbesondere dann vor, wenn keine inhaltliche Bewertung und darauf gestützte<br />
Entscheidung durch eine natürliche Person stattgefunden hat.<br />
(2) Dies gilt nicht, wenn<br />
1. die Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines Vertragsverhältnisses oder eines<br />
sonstigen Rechtsverhältnisses ergeht und dem Begehren des Betroffenen stattgegeben wurde oder<br />
2. die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen gewährleistet ist und<br />
die verantwortliche Stelle dem Betroffenen die Tatsache des Vorliegens einer Entscheidung im Sinne des<br />
Absatzes 1 mitteilt sowie auf Verlangen die wesentlichen Gründe dieser Entscheidung mitteilt und erläutert.<br />
(3) Das Recht des Betroffenen auf Auskunft nach den §§ 19 und 34 erstreckt sich auch auf den logischen Aufbau der<br />
automatisierten Verarbeitung der ihn betreffenden <strong>Daten</strong>.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 6b Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen<br />
(1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist<br />
nur zulässig, soweit sie<br />
1. zur Aufgabenerfüllung öffentlicher Stellen,<br />
2. zur Wahrnehmung des Hausrechts oder<br />
3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke<br />
erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.<br />
(2) Der Umstand der Beobachtung und die verantwortliche Stelle sind durch geeignete Maßnahmen erkennbar zu<br />
machen.<br />
(3) Die Verarbeitung oder Nutzung von nach Absatz 1 erhobenen <strong>Daten</strong> ist zulässig, wenn sie zum Erreichen des<br />
verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen<br />
überwiegen. Für einen anderen Zweck dürfen sie nur verarbeitet oder genutzt werden, soweit dies zur Abwehr von<br />
Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist.<br />
(4) Werden durch Videoüberwachung erhobene <strong>Daten</strong> einer bestimmten Person zugeordnet, ist diese über eine<br />
Verarbeitung oder Nutzung entsprechend den §§ 19a und 33 zu benachrichtigen.
(5) Die <strong>Daten</strong> sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder<br />
schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 6c Mobile personenbezogene Speicher- und Verarbeitungsmedien<br />
(1) Die Stelle, die ein mobiles personenbezogenes Speicher- und Verarbeitungsmedium ausgibt oder ein Verfahren zur<br />
automatisierten Verarbeitung personenbezogener <strong>Daten</strong>, das ganz oder teilweise auf einem solchen Medium abläuft,<br />
auf das Medium aufbringt, ändert oder hierzu bereithält, muss den Betroffenen<br />
1. über ihre Identität und Anschrift,<br />
2. in allgemein verständlicher Form über die Funktionsweise des Mediums einschließlich der Art der zu<br />
verarbeitenden personenbezogenen <strong>Daten</strong>,<br />
3. darüber, wie er seine Rechte nach den §§ 19, 20, 34 und 35 ausüben kann, und<br />
4. über die bei Verlust oder Zerstörung des Mediums zu treffenden Maßnahmen<br />
unterrichten, soweit der Betroffene nicht bereits Kenntnis erlangt hat.<br />
(2) Die nach Absatz 1 verpflichtete Stelle hat dafür Sorge zu tragen, dass die zur Wahrnehmung des Auskunftsrechts<br />
erforderlichen Geräte oder Einrichtungen in angemessenem Umfang zum unentgeltlichen Gebrauch zur Verfügung<br />
stehen.<br />
(3) Kommunikationsvorgänge, die auf dem Medium eine <strong>Daten</strong>verarbeitung auslösen, müssen für den Betroffenen<br />
eindeutig erkennbar sein.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 7 Schadensersatz<br />
Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über<br />
den <strong>Daten</strong>schutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen <strong>Daten</strong><br />
einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt,<br />
soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 8 Schadensersatz bei automatisierter <strong>Daten</strong>verarbeitung durch öffentliche Stellen<br />
(1) Fügt eine verantwortliche öffentliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen<br />
Vorschriften über den <strong>Daten</strong>schutz unzulässige oder unrichtige automatisierte Erhebung, Verarbeitung oder Nutzung<br />
seiner personenbezogenen <strong>Daten</strong> einen Schaden zu, ist ihr Träger dem Betroffenen unabhängig von einem<br />
Verschulden zum Schadensersatz verpflichtet.<br />
(2) Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen der Schaden, der nicht<br />
Vermögensschaden ist, angemessen in Geld zu ersetzen.<br />
(3) Die Ansprüche nach den Absätzen 1 und 2 sind insgesamt auf einen Betrag von 130.000 Euro begrenzt. Ist auf<br />
Grund desselben Ereignisses an mehrere Personen Schadensersatz zu leisten, der insgesamt den Höchstbetrag von<br />
130.000 Euro übersteigt, so verringern sich die einzelnen Schadensersatzleistungen in dem Verhältnis, in dem ihr<br />
Gesamtbetrag zu dem Höchstbetrag steht.<br />
(4) Sind bei einer automatisierten Verarbeitung mehrere Stellen speicherungsberechtigt und ist der Geschädigte nicht in<br />
der Lage, die speichernde Stelle festzustellen, so haftet jede dieser Stellen.<br />
(5) Hat bei der Entstehung des Schadens ein Verschulden des Betroffenen mitgewirkt, gilt § 254 des Bürgerlichen<br />
Gesetzbuchs.<br />
(6) Auf die Verjährung finden die für unerlaubte Handlungen geltenden Verjährungsvorschriften des Bürgerlichen<br />
Gesetzbuchs entsprechende Anwendung.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 9 Technische und organisatorische Maßnahmen<br />
Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene <strong>Daten</strong> erheben, verarbeiten oder<br />
nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung<br />
der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu<br />
gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem<br />
angestrebten <strong>Schutz</strong>zweck steht.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 9a <strong>Daten</strong>schutzaudit<br />
Zur Verbesserung des <strong>Daten</strong>schutzes und der <strong>Daten</strong>sicherheit können Anbieter von <strong>Daten</strong>verarbeitungssystemen und<br />
-programmen und datenverarbeitende Stellen ihr <strong>Daten</strong>schutzkonzept sowie ihre technischen Einrichtungen durch<br />
unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen.<br />
Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der<br />
Gutachter werden durch besonderes Gesetz geregelt.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 10 Einrichtung automatisierter Abrufverfahren<br />
(1) Die Einrichtung eines automatisierten Verfahrens, das die Übermittlung personenbezogener <strong>Daten</strong> durch Abruf<br />
ermöglicht, ist zulässig, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen<br />
163
164<br />
und der Aufgaben oder Geschäftszwecke der beteiligten Stellen angemessen ist. Die Vorschriften über die Zulässigkeit<br />
des einzelnen Abrufs bleiben unberührt.<br />
(2) Die beteiligten Stellen haben zu gewährleisten, dass die Zulässigkeit des Abrufverfahrens kontrolliert werden kann.<br />
Hierzu haben sie schriftlich festzulegen:<br />
1. Anlass und Zweck des Abrufverfahrens,<br />
2. Dritte, an die übermittelt wird,<br />
3. Art der zu übermittelnden <strong>Daten</strong>,<br />
4. nach § 9 erforderliche technische und organisatorische Maßnahmen.<br />
Im öffentlichen Bereich können die erforderlichen Festlegungen auch durch die Fachaufsichtsbehörden getroffen<br />
werden.<br />
(3) Über die Einrichtung von Abrufverfahren ist in Fällen, in denen die in § 12 Abs. 1 genannten Stellen beteiligt sind,<br />
der Bundesbeauftragte für den <strong>Daten</strong>schutz und die Informationsfreiheit unter Mitteilung der Festlegungen nach Absatz<br />
2 zu unterrichten. Die Einrichtung von Abrufverfahren, bei denen die in § 6 Abs. 2 und in § 19 Abs. 3 genannten Stellen<br />
beteiligt sind, ist nur zulässig, wenn das für die speichernde und die abrufende Stelle jeweils zuständige Bundes- oder<br />
Landesministerium zugestimmt hat.<br />
(4) Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Dritte, an den übermittelt wird. Die<br />
speichernde Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht. Die speichernde Stelle hat zu<br />
gewährleisten, dass die Übermittlung personenbezogener <strong>Daten</strong> zumindest durch geeignete Stichprobenverfahren<br />
festgestellt und überprüft werden kann. Wird ein Gesamtbestand personenbezogener <strong>Daten</strong> abgerufen oder übermittelt<br />
(Stapelverarbeitung), so bezieht sich die Gewährleistung der Feststellung und Überprüfung nur auf die Zulässigkeit des<br />
Abrufes oder der Übermittlung des Gesamtbestandes.<br />
(5) Die Absätze 1 bis 4 gelten nicht für den Abruf allgemein zugänglicher <strong>Daten</strong>. Allgemein zugänglich sind <strong>Daten</strong>, die<br />
jedermann, sei es <strong>ohne</strong> oder nach vorheriger Anmeldung Zulassung oder Entrichtung eines Entgelts, nutzen kann.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 11 Erhebung, Verarbeitung oder Nutzung personenbezogener <strong>Daten</strong> im Auftrag<br />
(1) Werden personenbezogene <strong>Daten</strong> im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der<br />
Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den <strong>Daten</strong>schutz<br />
verantwortlich. Die in den §§ 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen.<br />
(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und<br />
organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im<br />
Einzelnen festzulegen sind:<br />
1. der Gegenstand und die Dauer des Auftrags,<br />
2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von <strong>Daten</strong>, die<br />
Art der <strong>Daten</strong> und der Kreis der Betroffenen,<br />
3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,<br />
4. die Berichtigung, Löschung und Sperrung von <strong>Daten</strong>,<br />
5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden<br />
Kontrollen,<br />
6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,<br />
7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des<br />
Auftragnehmers,<br />
8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum<br />
<strong>Schutz</strong> personenbezogener <strong>Daten</strong> oder gegen die im Auftrag getroffenen Festlegungen,<br />
9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,<br />
10. die Rückgabe überlassener <strong>Daten</strong>träger und die Löschung beim Auftragnehmer gespeicherter <strong>Daten</strong> nach<br />
Beendigung des Auftrags.<br />
Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftraggeber hat sich vor<br />
Beginn der <strong>Daten</strong>verarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen<br />
technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.<br />
(3) Der Auftragnehmer darf die <strong>Daten</strong> nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder<br />
nutzen. Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über<br />
den <strong>Daten</strong>schutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.<br />
(4) Für den Auftragnehmer gelten neben den §§ 5, 9, 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3 sowie §<br />
44 nur die Vorschriften über die <strong>Daten</strong>schutzkontrolle oder die Aufsicht, und zwar für<br />
1. a) öffentliche Stellen,<br />
b) nicht-öffentliche Stellen, bei denen der öffentlichen Hand die Mehrheit der Anteile gehört oder die<br />
Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle ist,<br />
2.<br />
die §§ 18, 24 bis 26 oder die entsprechenden Vorschriften der <strong>Daten</strong>schutzgesetze der Länder,<br />
die übrigen nicht-öffentlichen Stellen, soweit sie personenbezogene <strong>Daten</strong> im Auftrag als<br />
Dienstleistungsunternehmen geschäftsmäßig erheben, verarbeiten oder nutzen, die §§ 4f, 4g und 38.<br />
(5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von<br />
<strong>Daten</strong>verarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf<br />
personenbezogene <strong>Daten</strong> nicht ausgeschlossen werden kann.
Nichtamtliches Inhaltsverzeichnis<br />
Zweiter Abschnitt<br />
<strong>Daten</strong>verarbeitung der öffentlichen Stellen<br />
Erster Unterabschnitt<br />
Rechtsgrundlagen der <strong>Daten</strong>verarbeitung<br />
§ 12 Anwendungsbereich<br />
(1) Die Vorschriften dieses Abschnittes gelten für öffentliche Stellen des Bundes, soweit sie nicht als öffentlichrechtliche<br />
Unternehmen am Wettbewerb teilnehmen.<br />
(2) Soweit der <strong>Daten</strong>schutz nicht durch Landesgesetz geregelt ist, gelten die §§ 12 bis 16, 19 bis 20 auch für die<br />
öffentlichen Stellen der Länder, soweit sie<br />
1. Bundesrecht ausführen und nicht als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen oder<br />
2. als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt.<br />
(3) Für Landesbeauftragte für den <strong>Daten</strong>schutz gilt § 23 Abs. 4 entsprechend.<br />
(4) Werden personenbezogene <strong>Daten</strong> für frühere, bestehende oder zukünftige Beschäftigungsverhältnisse erhoben,<br />
verarbeitet oder genutzt, gelten § 28 Absatz 2 Nummer 2 und die §§ 32 bis 35 anstelle der §§ 13 bis 16 und 19 bis 20.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 13 <strong>Daten</strong>erhebung<br />
(1) Das Erheben personenbezogener <strong>Daten</strong> ist zulässig, wenn ihre Kenntnis zur Erfüllung der Aufgaben der<br />
verantwortlichen Stelle erforderlich ist.<br />
(1a) Werden personenbezogene <strong>Daten</strong> statt beim Betroffenen bei einer nicht-öffentlichen Stelle erhoben, so ist die<br />
Stelle auf die Rechtsvorschrift, die zur Auskunft verpflichtet, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen.<br />
(2) Das Erheben besonderer Arten personenbezogener <strong>Daten</strong> (§ 3 Abs. 9) ist nur zulässig, soweit<br />
1. eine Rechtsvorschrift dies vorsieht oder aus Gründen eines wichtigen öffentlichen Interesses zwingend<br />
erfordert,<br />
2. der Betroffene nach Maßgabe des § 4a Abs. 3 eingewilligt hat,<br />
3. dies zum <strong>Schutz</strong> lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist, sofern der<br />
Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben,<br />
4. es sich um <strong>Daten</strong> handelt, die der Betroffene offenkundig öffentlich gemacht hat,<br />
5. dies zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit erforderlich ist,<br />
6. dies zur Abwehr erheblicher Nachteile für das Gemeinwohl oder zur Wahrung erheblicher Belange des<br />
Gemeinwohls zwingend erforderlich ist,<br />
7. dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder<br />
Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser<br />
<strong>Daten</strong> durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden<br />
Geheimhaltungspflicht unterliegen,<br />
8. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der<br />
Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung<br />
erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem<br />
Aufwand erreicht werden kann oder<br />
9. dies aus zwingenden Gründen der Verteidigung oder der Erfüllung über- oder zwischenstaatlicher<br />
Verpflichtungen einer öffentlichen Stelle des Bundes auf dem Gebiet der Krisenbewältigung oder<br />
Konfliktverhinderung oder für humanitäre Maßnahmen erforderlich ist.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 14 <strong>Daten</strong>speicherung, -veränderung und -nutzung<br />
(1) Das Speichern, Verändern oder Nutzen personenbezogener <strong>Daten</strong> ist zulässig, wenn es zur Erfüllung der in der<br />
Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben erforderlich ist und es für die Zwecke erfolgt, für die die<br />
<strong>Daten</strong> erhoben worden sind. Ist keine Erhebung vorausgegangen, dürfen die <strong>Daten</strong> nur für die Zwecke geändert oder<br />
genutzt werden, für die sie gespeichert worden sind.<br />
(2) Das Speichern, Verändern oder Nutzen für andere Zwecke ist nur zulässig, wenn<br />
1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt,<br />
2. der Betroffene eingewilligt hat,<br />
3. offensichtlich ist, dass es im Interesse des Betroffenen liegt, und kein Grund zu der Annahme besteht, dass er<br />
in Kenntnis des anderen Zwecks seine Einwilligung verweigern würde,<br />
4. Angaben des Betroffenen überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit<br />
bestehen,<br />
5. die <strong>Daten</strong> allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn,<br />
dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Zweckänderung offensichtlich<br />
überwiegt,<br />
165
166<br />
6. es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer Gefahr für die öffentliche Sicherheit oder<br />
zur Wahrung erheblicher Belange des Gemeinwohls erforderlich ist,<br />
7. es zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen<br />
oder Maßnahmen im Sinne des § 11 Abs. 1 Nr. 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder<br />
Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen<br />
erforderlich ist,<br />
8. es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist oder<br />
9. es zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der<br />
Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der<br />
Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit<br />
unverhältnismäßigem Aufwand erreicht werden kann.<br />
(3) Eine Verarbeitung oder Nutzung für andere Zwecke liegt nicht vor, wenn sie der Wahrnehmung von Aufsichts- und<br />
Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen für die<br />
verantwortliche Stelle dient. Das gilt auch für die Verarbeitung oder Nutzung zu Ausbildungs- und Prüfungszwecken<br />
durch die verantwortliche Stelle, soweit nicht überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen.<br />
(4) Personenbezogene <strong>Daten</strong>, die ausschließlich zu Zwecken der <strong>Daten</strong>schutzkontrolle, der <strong>Daten</strong>sicherung oder zur<br />
Sicherstellung eines ordnungsgemäßen <strong>Betriebe</strong>s einer <strong>Daten</strong>verarbeitungsanlage gespeichert werden, dürfen nur für<br />
diese Zwecke verwendet werden.<br />
(5) Das Speichern, Verändern oder Nutzen von besonderen Arten personenbezogener <strong>Daten</strong> (§ 3 Abs. 9) für andere<br />
Zwecke ist nur zulässig, wenn<br />
1. die Voraussetzungen vorliegen, die eine Erhebung nach § 13 Abs. 2 Nr. 1 bis 6 oder 9 zulassen würden oder<br />
2. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das öffentliche Interesse an der<br />
Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der<br />
Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit<br />
unverhältnismäßigem Aufwand erreicht werden kann.<br />
Bei der Abwägung nach Satz 1 Nr. 2 ist im Rahmen des öffentlichen Interesses das wissenschaftliche Interesse an dem<br />
Forschungsvorhaben besonders zu berücksichtigen.<br />
(6) Die Speicherung, Veränderung oder Nutzung von besonderen Arten personenbezogener <strong>Daten</strong> (§ 3 Abs. 9) zu den<br />
in § 13 Abs. 2 Nr. 7 genannten Zwecken richtet sich nach den für die in § 13 Abs. 2 Nr. 7 genannten Personen<br />
geltenden Geheimhaltungspflichten.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 15 <strong>Daten</strong>übermittlung an öffentliche Stellen<br />
(1) Die Übermittlung personenbezogener <strong>Daten</strong> an öffentliche Stellen ist zulässig, wenn<br />
1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle oder des Dritten, an den die <strong>Daten</strong><br />
übermittelt werden, liegenden Aufgaben erforderlich ist und<br />
2. die Voraussetzungen vorliegen, die eine Nutzung nach § 14 zulassen würden.<br />
(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Erfolgt die Übermittlung auf<br />
Ersuchen des Dritten, an den die <strong>Daten</strong> übermittelt werden, trägt dieser die Verantwortung. In diesem Fall prüft die<br />
übermittelnde Stelle nur, ob das Übermittlungsersuchen im Rahmen der Aufgaben des Dritten, an den die <strong>Daten</strong><br />
übermittelt werden, liegt, es sei denn, dass besonderer Anlass zur Prüfung der Zulässigkeit der Übermittlung besteht. §<br />
10 Abs. 4 bleibt unberührt.<br />
(3) Der Dritte, an den die <strong>Daten</strong> übermittelt werden, darf diese für den Zweck verarbeiten oder nutzen, zu dessen<br />
Erfüllung sie ihm übermittelt werden. Eine Verarbeitung oder Nutzung für andere Zwecke ist nur unter den<br />
Voraussetzungen des § 14 Abs. 2 zulässig.<br />
(4) Für die Übermittlung personenbezogener <strong>Daten</strong> an Stellen der öffentlich-rechtlichen Religionsgesellschaften gelten<br />
die Absätze 1 bis 3 entsprechend, sofern sichergestellt ist, dass bei diesen ausreichende <strong>Daten</strong>schutzmaßnahmen<br />
getroffen werden.<br />
(5) Sind mit personenbezogenen <strong>Daten</strong>, die nach Absatz 1 übermittelt werden dürfen, weitere personenbezogene<br />
<strong>Daten</strong> des Betroffenen oder eines Dritten so verbunden, dass eine Trennung nicht oder nur mit unvertretbarem<br />
Aufwand möglich ist, so ist die Übermittlung auch dieser <strong>Daten</strong> zulässig, soweit nicht berechtigte Interessen des<br />
Betroffenen oder eines Dritten an deren Geheimhaltung offensichtlich überwiegen; eine Nutzung dieser <strong>Daten</strong> ist<br />
unzulässig.<br />
(6) Absatz 5 gilt entsprechend, wenn personenbezogene <strong>Daten</strong> innerhalb einer öffentlichen Stelle weitergegeben<br />
werden.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 16 <strong>Daten</strong>übermittlung an nicht-öffentliche Stellen<br />
(1) Die Übermittlung personenbezogener <strong>Daten</strong> an nicht-öffentliche Stellen ist zulässig, wenn<br />
1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist und die<br />
Voraussetzungen vorliegen, die eine Nutzung nach § 14 zulassen würden, oder<br />
2. der Dritte, an den die <strong>Daten</strong> übermittelt werden, ein berechtigtes Interesse an der Kenntnis der zu<br />
übermittelnden <strong>Daten</strong> glaubhaft darlegt und der Betroffene kein schutzwürdiges Interesse an dem Ausschluss<br />
der Übermittlung hat. Das Übermitteln von besonderen Arten personenbezogener <strong>Daten</strong> (§ 3 Abs. 9) ist<br />
abweichend von Satz 1 Nr. 2 nur zulässig, wenn die Voraussetzungen vorliegen, die eine Nutzung nach § 14<br />
Abs. 5 und 6 zulassen würden oder soweit dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher<br />
Ansprüche erforderlich ist.
(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.<br />
(3) In den Fällen der Übermittlung nach Absatz 1 Nr. 2 unterrichtet die übermittelnde Stelle den Betroffenen von der<br />
Übermittlung seiner <strong>Daten</strong>. Dies gilt nicht, wenn damit zu rechnen ist, dass er davon auf andere Weise Kenntnis<br />
erlangt, oder wenn die Unterrichtung die öffentliche Sicherheit gefährden oder sonst dem Wohle des Bundes oder eines<br />
Landes Nachteile bereiten würde.<br />
(4) Der Dritte, an den die <strong>Daten</strong> übermittelt werden, darf diese nur für den Zweck verarbeiten oder nutzen, zu dessen<br />
Erfüllung sie ihm übermittelt werden. Die übermittelnde Stelle hat ihn darauf hinzuweisen. Eine Verarbeitung oder<br />
Nutzung für andere Zwecke ist zulässig, wenn eine Übermittlung nach Absatz 1 zulässig wäre und die übermittelnde<br />
Stelle zugestimmt hat.<br />
Nichtamtliches Inhaltsverzeichnis<br />
(weggefallen)<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 17<br />
§ 18 Durchführung des <strong>Daten</strong>schutzes in der Bundesverwaltung<br />
(1) Die obersten Bundesbehörden, der Präsident des Bundeseisenbahnvermögens sowie die bundesunmittelbaren<br />
Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts, über die von der Bundesregierung oder einer<br />
obersten Bundesbehörde lediglich die Rechtsaufsicht ausgeübt wird, haben für ihren Geschäftsbereich die Ausführung<br />
dieses Gesetzes sowie anderer Rechtsvorschriften über den <strong>Daten</strong>schutz sicherzustellen. Das Gleiche gilt für die<br />
Vorstände der aus dem Sondervermögen Deutsche Bundespost durch Gesetz hervorgegangenen Unternehmen,<br />
solange diesen ein ausschließliches Recht nach dem Postgesetz zusteht.<br />
(2) Die öffentlichen Stellen führen ein Verzeichnis der eingesetzten <strong>Daten</strong>verarbeitungsanlagen. Für ihre<br />
automatisierten Verarbeitungen haben sie die Angaben nach § 4e sowie die Rechtsgrundlage der Verarbeitung<br />
schriftlich festzulegen. Bei allgemeinen Verwaltungszwecken dienenden automatisierten Verarbeitungen, bei welchen<br />
das Auskunftsrecht des Betroffenen nicht nach § 19 Abs. 3 oder 4 eingeschränkt wird, kann hiervon abgesehen<br />
werden. Für automatisierte Verarbeitungen, die in gleicher oder ähnlicher Weise mehrfach geführt werden, können die<br />
Festlegungen zusammengefasst werden.<br />
Nichtamtliches Inhaltsverzeichnis<br />
Zweiter Unterabschnitt<br />
Rechte des Betroffenen<br />
§ 19 Auskunft an den Betroffenen<br />
(1) Dem Betroffenen ist auf Antrag Auskunft zu erteilen über<br />
1. die zu seiner Person gespeicherten <strong>Daten</strong>, auch soweit sie sich auf die Herkunft dieser <strong>Daten</strong> beziehen,<br />
2. die Empfänger oder Kategorien von Empfängern, an die die <strong>Daten</strong> weitergegeben werden, und<br />
3. den Zweck der Speicherung.<br />
In dem Antrag soll die Art der personenbezogenen <strong>Daten</strong>, über die Auskunft erteilt werden soll, näher bezeichnet<br />
werden. Sind die personenbezogenen <strong>Daten</strong> weder automatisiert noch in nicht automatisierten Dateien gespeichert,<br />
wird die Auskunft nur erteilt, soweit der Betroffene Angaben macht, die das Auffinden der <strong>Daten</strong> ermöglichen, und der<br />
für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem vom Betroffenen geltend gemachten<br />
Informationsinteresse steht. Die verantwortliche Stelle bestimmt das Verfahren, insbesondere die Form der<br />
Auskunftserteilung, nach pflichtgemäßem Ermessen.<br />
(2) Absatz 1 gilt nicht für personenbezogene <strong>Daten</strong>, die nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher,<br />
satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen, oder ausschließlich<br />
Zwecken der <strong>Daten</strong>sicherung oder der <strong>Daten</strong>schutzkontrolle dienen und eine Auskunftserteilung einen<br />
unverhältnismäßigen Aufwand erfordern würde.<br />
(3) Bezieht sich die Auskunftserteilung auf die Übermittlung personenbezogener <strong>Daten</strong> an<br />
Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die<br />
Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nur mit<br />
Zustimmung dieser Stellen zulässig.<br />
(4) Die Auskunftserteilung unterbleibt, soweit<br />
1. die Auskunft die ordnungsgemäße Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden<br />
Aufgaben gefährden würde,<br />
2. die Auskunft die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines<br />
Landes Nachteile bereiten würde oder<br />
3. die <strong>Daten</strong> oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder ihrem Wesen nach,<br />
insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden<br />
müssen<br />
und deswegen das Interesse des Betroffenen an der Auskunftserteilung zurücktreten muss.<br />
(5) Die Ablehnung der Auskunftserteilung bedarf einer Begründung nicht, soweit durch die Mitteilung der tatsächlichen<br />
und rechtlichen Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweigerung verfolgte Zweck<br />
gefährdet würde. In diesem Fall ist der Betroffene darauf hinzuweisen, dass er sich an den Bundesbeauftragten für den<br />
<strong>Daten</strong>schutz und die Informationsfreiheit wenden kann.<br />
(6) Wird dem Betroffenen keine Auskunft erteilt, so ist sie auf sein Verlangen dem Bundesbeauftragten für den<br />
<strong>Daten</strong>schutz und die Informationsfreiheit zu erteilen, soweit nicht die jeweils zuständige oberste Bundesbehörde im<br />
167
168<br />
Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde. Die Mitteilung des<br />
Bundesbeauftragten an den Betroffenen darf keine Rückschlüsse auf den Erkenntnisstand der verantwortlichen Stelle<br />
zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmt.<br />
(7) Die Auskunft ist unentgeltlich.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 19a Benachrichtigung<br />
(1) Werden <strong>Daten</strong> <strong>ohne</strong> Kenntnis des Betroffenen erhoben, so ist er von der Speicherung, der Identität der<br />
verantwortlichen Stelle sowie über die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung zu unterrichten.<br />
Der Betroffene ist auch über die Empfänger oder Kategorien von Empfängern von <strong>Daten</strong> zu unterrichten, soweit er nicht<br />
mit der Übermittlung an diese rechnen muss. Sofern eine Übermittlung vorgesehen ist, hat die Unterrichtung spätestens<br />
bei der ersten Übermittlung zu erfolgen.<br />
(2) Eine Pflicht zur Benachrichtigung besteht nicht, wenn<br />
1. der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat,<br />
2. die Unterrichtung des Betroffenen einen unverhältnismäßigen Aufwand erfordert oder<br />
3. die Speicherung oder Übermittlung der personenbezogenen <strong>Daten</strong> durch Gesetz ausdrücklich vorgesehen ist.<br />
Die verantwortliche Stelle legt schriftlich fest, unter welchen Voraussetzungen von einer Benachrichtigung nach<br />
Nummer 2 oder 3 abgesehen wird.<br />
(3) § 19 Abs. 2 bis 4 gilt entsprechend.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 20 Berichtigung, Löschung und Sperrung von <strong>Daten</strong>; Widerspruchsrecht<br />
(1) Personenbezogene <strong>Daten</strong> sind zu berichtigen, wenn sie unrichtig sind. Wird festgestellt, dass personenbezogene<br />
<strong>Daten</strong>, die weder automatisiert verarbeitet noch in nicht automatisierten Dateien gespeichert sind, unrichtig sind, oder<br />
wird ihre Richtigkeit von dem Betroffenen bestritten, so ist dies in geeigneter Weise festzuhalten.<br />
(2) Personenbezogene <strong>Daten</strong>, die automatisiert verarbeitet oder in nicht automatisierten Dateien gespeichert sind, sind<br />
zu löschen, wenn<br />
1. ihre Speicherung unzulässig ist oder<br />
2. ihre Kenntnis für die verantwortliche Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht<br />
mehr erforderlich ist.<br />
(3) An die Stelle einer Löschung tritt eine Sperrung, soweit<br />
1. einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen,<br />
2. Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen<br />
beeinträchtigt würden, oder<br />
3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem<br />
Aufwand möglich ist.<br />
(4) Personenbezogene <strong>Daten</strong>, die automatisiert verarbeitet oder in nicht automatisierten Dateien gespeichert sind, sind<br />
ferner zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die<br />
Unrichtigkeit feststellen lässt.<br />
(5) Personenbezogene <strong>Daten</strong> dürfen nicht für eine automatisierte Verarbeitung oder Verarbeitung in nicht<br />
automatisierten Dateien erhoben, verarbeitet oder genutzt werden, soweit der Betroffene dieser bei der<br />
verantwortlichen Stelle widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse des Betroffenen wegen<br />
seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung<br />
oder Nutzung überwiegt. Satz 1 gilt nicht, wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung<br />
verpflichtet.<br />
(6) Personenbezogene <strong>Daten</strong>, die weder automatisiert verarbeitet noch in einer nicht automatisierten Datei gespeichert<br />
sind, sind zu sperren, wenn die Behörde im Einzelfall feststellt, dass <strong>ohne</strong> die Sperrung schutzwürdige Interessen des<br />
Betroffenen beeinträchtigt würden und die <strong>Daten</strong> für die Aufgabenerfüllung der Behörde nicht mehr erforderlich sind.<br />
(7) Gesperrte <strong>Daten</strong> dürfen <strong>ohne</strong> Einwilligung des Betroffenen nur übermittelt oder genutzt werden, wenn<br />
1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im<br />
überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerlässlich ist und<br />
2. die <strong>Daten</strong> hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären.<br />
(8) Von der Berichtigung unrichtiger <strong>Daten</strong>, der Sperrung bestrittener <strong>Daten</strong> sowie der Löschung oder Sperrung wegen<br />
Unzulässigkeit der Speicherung sind die Stellen zu verständigen, denen im Rahmen einer <strong>Daten</strong>übermittlung diese<br />
<strong>Daten</strong> zur Speicherung weitergegeben wurden, wenn dies keinen unverhältnismäßigen Aufwand erfordert und<br />
schutzwürdige Interessen des Betroffenen nicht entgegenstehen.<br />
(9) § 2 Abs. 1 bis 6, 8 und 9 des Bundesarchivgesetzes ist anzuwenden.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 21 Anrufung des Bundesbeauftragten für den <strong>Daten</strong>schutz und die Informationsfreiheit<br />
Jedermann kann sich an den Bundesbeauftragten für den <strong>Daten</strong>schutz und die Informationsfreiheit wenden, wenn er<br />
der Ansicht ist, bei der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen <strong>Daten</strong> durch öffentliche<br />
Stellen des Bundes in seinen Rechten verletzt worden zu sein. Für die Erhebung, Verarbeitung oder Nutzung von<br />
personenbezogenen <strong>Daten</strong> durch Gerichte des Bundes gilt dies nur, soweit diese in Verwaltungsangelegenheiten tätig<br />
werden.
Dritter Unterabschnitt<br />
Bundesbeauftragter für den <strong>Daten</strong>schutz und die Informationsfreiheit<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 22 Wahl des Bundesbeauftragten für den <strong>Daten</strong>schutz und die Informationsfreiheit<br />
(1) Der Deutsche Bundestag wählt auf Vorschlag der Bundesregierung den Bundesbeauftragten für den <strong>Daten</strong>schutz<br />
und die Informationsfreiheit mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder. Der Bundesbeauftragte<br />
muss bei seiner Wahl das 35. Lebensjahr vollendet haben. Der Gewählte ist vom Bundespräsidenten zu ernennen.<br />
(2) Der Bundesbeauftragte leistet vor dem Bundesminister des Innern folgenden Eid:<br />
"Ich schwöre, dass ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren,<br />
Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine<br />
Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. So wahr mir Gott helfe."<br />
Der Eid kann auch <strong>ohne</strong> religiöse Beteuerung geleistet werden.<br />
(3) Die Amtszeit des Bundesbeauftragten beträgt fünf Jahre. Einmalige Wiederwahl ist zulässig.<br />
(4) Der Bundesbeauftragte steht nach Maßgabe dieses Gesetzes zum Bund in einem öffentlich-rechtlichen<br />
Amtsverhältnis. Er ist in Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen. Er untersteht der<br />
Rechtsaufsicht der Bundesregierung.<br />
(5) Der Bundesbeauftragte wird beim Bundesministerium des Innern eingerichtet. Er untersteht der Dienstaufsicht des<br />
Bundesministeriums des Innern. Dem Bundesbeauftragten ist die für die Erfüllung seiner Aufgaben notwendige<br />
Personal- und Sachausstattung zur Verfügung zu stellen; sie ist im Einzelplan des Bundesministers des Innern in einem<br />
eigenen Kapitel auszuweisen. Die Stellen sind im Einvernehmen mit dem Bundesbeauftragten zu besetzen. Die<br />
Mitarbeiter können, falls sie mit der beabsichtigten Maßnahme nicht einverstanden sind, nur im Einvernehmen mit ihm<br />
versetzt, abgeordnet oder umgesetzt werden.<br />
(6) Ist der Bundesbeauftragte vorübergehend an der Ausübung seines Amtes verhindert, kann der Bundesminister des<br />
Innern einen Vertreter mit der Wahrnehmung der Geschäfte beauftragen. Der Bundesbeauftragte soll dazu gehört<br />
werden.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 23 Rechtsstellung des Bundesbeauftragten für den <strong>Daten</strong>schutz und die Informationsfreiheit<br />
(1) Das Amtsverhältnis des Bundesbeauftragten für den <strong>Daten</strong>schutz und die Informationsfreiheit beginnt mit der<br />
Aushändigung der Ernennungsurkunde. Es endet<br />
1. mit Ablauf der Amtszeit,<br />
2. mit der Entlassung.<br />
Der Bundespräsident entläßt den Bundesbeauftragten, wenn dieser es verlangt oder auf Vorschlag der<br />
Bundesregierung, wenn Gründe vorliegen, die bei einem Richter auf Lebenszeit die Entlassung aus dem Dienst<br />
rechtfertigen. Im Falle der Beendigung des Amtsverhältnisses erhält der Bundesbeauftragte eine vom<br />
Bundespräsidenten vollzogene Urkunde. Eine Entlassung wird mit der Aushändigung der Urkunde wirksam. Auf<br />
Ersuchen des Bundesministers des Innern ist der Bundesbeauftragte verpflichtet, die Geschäfte bis zur Ernennung<br />
seines Nachfolgers weiterzuführen.<br />
(2) Der Bundesbeauftragte darf neben seinem Amt kein anderes besoldetes Amt, kein Gewerbe und keinen Beruf<br />
ausüben und weder der Leitung oder dem Aufsichtsrat oder Verwaltungsrat eines auf Erwerb gerichteten<br />
Unternehmens noch einer Regierung oder einer gesetzgebenden Körperschaft des Bundes oder eines Landes<br />
angehören. Er darf nicht gegen Entgelt außergerichtliche Gutachten abgeben.<br />
(3) Der Bundesbeauftragte hat dem Bundesministerium des Innern Mitteilung über Geschenke zu machen, die er in<br />
bezug auf sein Amt erhält. Das Bundesministerium des Innern entscheidet über die Verwendung der Geschenke.<br />
(4) Der Bundesbeauftragte ist berechtigt, über Personen, die ihm in seiner Eigenschaft als Bundesbeauftragter<br />
Tatsachen anvertraut haben, sowie über diese Tatsachen selbst das Zeugnis zu verweigern. Dies gilt auch für die<br />
Mitarbeiter des Bundesbeauftragten mit der Maßgabe, daß über die Ausübung dieses Rechts der Bundesbeauftragte<br />
entscheidet. Soweit das Zeugnisverweigerungsrecht des Bundesbeauftragten reicht, darf die Vorlegung oder<br />
Auslieferung von Akten oder anderen Schriftstücken von ihm nicht gefordert werden.<br />
(5) Der Bundesbeauftragte ist, auch nach Beendigung seines Amtsverhältnisses, verpflichtet, über die ihm amtlich<br />
bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für Mitteilungen im dienstlichen<br />
Verkehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. Der<br />
Bundesbeauftragte darf, auch wenn er nicht mehr im Amt ist, über solche Angelegenheiten <strong>ohne</strong> Genehmigung des<br />
Bundesministeriums des Innern weder vor Gericht noch außergerichtlich aussagen oder Erklärungen abgeben.<br />
Unberührt bleibt die gesetzlich begründete Pflicht, Straftaten anzuzeigen und bei Gefährdung der freiheitlichen<br />
demokratischen Grundordnung für deren Erhaltung einzutreten. Für den Bundesbeauftragten und seine Mitarbeiter<br />
gelten die §§ 93, 97, 105 Abs. 1, § 111 Abs. 5 in Verbindung mit § 105 Abs. 1 sowie § 116 Abs. 1 der Abgabenordnung<br />
nicht. Satz 5 findet keine Anwendung, soweit die Finanzbehörden die Kenntnis für die Durchführung eines Verfahrens<br />
wegen einer Steuerstraftat sowie eines damit zusammenhängenden Steuerverfahrens benötigen, an deren Verfolgung<br />
ein zwingendes öffentliches Interesse besteht, oder soweit es sich um vorsätzlich falsche Angaben des<br />
Auskunftspflichtigen oder der für ihn tätigen Personen handelt. Stellt der Bundesbeauftragte einen <strong>Daten</strong>schutzverstoß<br />
fest, ist er befugt, diesen anzuzeigen und den Betroffenen hierüber zu informieren.<br />
(6) Die Genehmigung, als Zeuge auszusagen, soll nur versagt werden, wenn die Aussage dem Wohle des Bundes<br />
oder eines deutschen Landes Nachteile bereiten oder die Erfüllung öffentlicher Aufgaben ernstlich gefährden oder<br />
erheblich erschweren würde. Die Genehmigung, ein Gutachten zu erstatten, kann versagt werden, wenn die Erstattung<br />
den dienstlichen Interessen Nachteile bereiten würde. § 28 des Bundesverfassungsgerichtsgesetzes bleibt unberührt.<br />
(7) Der Bundesbeauftragte erhält vom Beginn des Kalendermonats an, in dem das Amtsverhältnis beginnt, bis zum<br />
Schluß des Kalendermonats, in dem das Amtsverhältnis endet, im Falle des Absatzes 1 Satz 6 bis zum Ende des<br />
169
170<br />
Monats, in dem die Geschäftsführung endet, Amtsbezüge in Höhe der einem Bundesbeamten der Besoldungsgruppe B<br />
9 zustehenden Besoldung. Das Bundesreisekostengesetz und das Bundesumzugskostengesetz sind entsprechend<br />
anzuwenden. Im Übrigen sind § 12 Abs 6 sowie die §§ 13 bis 20 und 21a Abs. 5 des Bundesministergesetzes mit den<br />
Maßgaben anzuwenden, dass an die Stelle der vierjährigen Amtszeit in § 15 Abs. 1 des Bundesministergesetzes eine<br />
Amtszeit von fünf Jahren und an die Stelle der Besoldungsgruppe B 11 in § 21a Abs. 5 des Bundesministergesetzes<br />
die Besoldungsgruppe B 9 tritt. Abweichend von Satz 3 in Verbindung mit den §§ 15 bis 17 und 21a Abs. 5 des<br />
Bundesministergesetzes berechnet sich das Ruhegehalt des Bundesbeauftragten unter Hinzurechnung der Amtszeit<br />
als ruhegehaltsfähige Dienstzeit in entsprechender Anwendung des Beamtenversorgungsgesetzes, wenn dies<br />
günstiger ist und der Bundesbeauftragte sich unmittelbar vor seiner Wahl zum Bundesbeauftragten als Beamter oder<br />
Richter mindestens in dem letzten gewöhnlich vor Erreichen der Besoldungsgruppe B 9 zu durchlaufenden Amt<br />
befunden hat.<br />
(8) Absatz 5 Satz 5 bis 7 gilt entsprechend für die öffentlichen Stellen, die für die Kontrolle der Einhaltung der<br />
Vorschriften über den <strong>Daten</strong>schutz in den Ländern zuständig sind.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 24 Kontrolle durch den Bundesbeauftragten für den <strong>Daten</strong>schutz und die Informationsfreiheit<br />
(1) Der Bundesbeauftragte für den <strong>Daten</strong>schutz und die Informationsfreiheit kontrolliert bei den öffentlichen Stellen des<br />
Bundes die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den <strong>Daten</strong>schutz.<br />
(2) Die Kontrolle des Bundesbeauftragten erstreckt sich auch auf<br />
1. von öffentlichen Stellen des Bundes erlangte personenbezogene <strong>Daten</strong> über den Inhalt und die näheren<br />
Umstände des Brief-, Post- und Fernmeldeverkehrs, und<br />
2. personenbezogene <strong>Daten</strong>, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem<br />
Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen.<br />
Das Grundrecht des Brief-, Post- und Fernmeldegeheimnisses des Artikels 10 des Grundgesetzes wird insoweit<br />
eingeschränkt. Personenbezogene <strong>Daten</strong>, die der Kontrolle durch die Kommission nach § 15 des Artikel 10-Gesetzes<br />
unterliegen, unterliegen nicht der Kontrolle durch den Bundesbeauftragten, es sei denn, die Kommission ersucht den<br />
Bundesbeauftragten, die Einhaltung der Vorschriften über den <strong>Daten</strong>schutz bei bestimmten Vorgängen oder in<br />
bestimmten Bereichen zu kontrollieren und ausschließlich ihr darüber zu berichten. Der Kontrolle durch den<br />
Bundesbeauftragten unterliegen auch nicht personenbezogene <strong>Daten</strong> in Akten über die Sicherheitsüberprüfung, wenn<br />
der Betroffene der Kontrolle der auf ihn bezogenen <strong>Daten</strong> im Einzelfall gegenüber dem Bundesbeauftragten<br />
widerspricht.<br />
(3) Die Bundesgerichte unterliegen der Kontrolle des Bundesbeauftragten nur, soweit sie in<br />
Verwaltungsangelegenheiten tätig werden.<br />
(4) Die öffentlichen Stellen des Bundes sind verpflichtet, den Bundesbeauftragten und seine Beauftragten bei der<br />
Erfüllung ihrer Aufgaben zu unterstützen. Ihnen ist dabei insbesondere<br />
1. Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen, insbesondere in die gespeicherten <strong>Daten</strong> und in<br />
die <strong>Daten</strong>verarbeitungsprogramme, zu gewähren, die im Zusammenhang mit der Kontrolle nach Absatz 1<br />
stehen,<br />
2. jederzeit Zutritt in alle Diensträume zu gewähren.<br />
Die in § 6 Abs. 2 und § 19 Abs. 3 genannten Behörden gewähren die Unterstützung nur dem Bundesbeauftragten<br />
selbst und den von ihm schriftlich besonders Beauftragten. Satz 2 gilt für diese Behörden nicht, soweit die oberste<br />
Bundesbehörde im Einzelfall feststellt, dass die Auskunft oder Einsicht die Sicherheit des Bundes oder eines Landes<br />
gefährden würde.<br />
(5) Der Bundesbeauftragte teilt das Ergebnis seiner Kontrolle der öffentlichen Stelle mit. Damit kann er Vorschläge zur<br />
Verbesserung des <strong>Daten</strong>schutzes, insbesondere zur Beseitigung von festgestellten Mängeln bei der Verarbeitung oder<br />
Nutzung personenbezogener <strong>Daten</strong>, verbinden. § 25 bleibt unberührt.<br />
(6) Absatz 2 gilt entsprechend für die öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den<br />
<strong>Daten</strong>schutz in den Ländern zuständig sind.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 25 Beanstandungen durch den Bundesbeauftragten für den <strong>Daten</strong>schutz und die Informationsfreiheit<br />
(1) Stellt der Bundesbeauftragte für den <strong>Daten</strong>schutz und die Informationsfreiheit Verstöße gegen die Vorschriften<br />
dieses Gesetzes oder gegen andere Vorschriften über den <strong>Daten</strong>schutz oder sonstige Mängel bei der Verarbeitung<br />
oder Nutzung personenbezogener <strong>Daten</strong> fest, so beanstandet er dies<br />
1. bei der Bundesverwaltung gegenüber der zuständigen obersten Bundesbehörde,<br />
2. beim Bundeseisenbahnvermögen gegenüber dem Präsidenten,<br />
3. bei den aus dem Sondervermögen Deutsche Bundespost durch Gesetz hervorgegangenen Unternehmen,<br />
solange ihnen ein ausschließliches Recht nach dem Postgesetz zusteht, gegenüber deren Vorständen,<br />
4. bei den bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie bei<br />
Vereinigungen solcher Körperschaften, Anstalten und Stiftungen gegenüber dem Vorstand oder dem sonst<br />
vertretungsberechtigten Organ<br />
und fordert zur Stellungnahme innerhalb einer von ihm zu bestimmenden Frist auf. In den Fällen von Satz 1 Nr. 4<br />
unterrichtet der Bundesbeauftragte gleichzeitig die zuständige Aufsichtsbehörde.<br />
(2) Der Bundesbeauftragte kann von einer Beanstandung absehen oder auf eine Stellungnahme der betroffenen Stelle<br />
verzichten, insbesondere wenn es sich um unerhebliche oder inzwischen beseitigte Mängel handelt.
(3) Die Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die aufgrund der Beanstandung des<br />
Bundesbeauftragten getroffen worden sind. Die in Absatz 1 Satz 1 Nr. 4 genannten Stellen leiten der zuständigen<br />
Aufsichtsbehörde gleichzeitig eine Abschrift ihrer Stellungnahme an den Bundesbeauftragten zu.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 26 Weitere Aufgaben des Bundesbeauftragten für den <strong>Daten</strong>schutz und die Informationsfreiheit<br />
(1) Der Bundesbeauftragte für den <strong>Daten</strong>schutz und die Informationsfreiheit erstattet dem Deutschen Bundestag alle<br />
zwei Jahre einen Tätigkeitsbericht. Er unterrichtet den Deutschen Bundestag und die Öffentlichkeit über wesentliche<br />
Entwicklungen des <strong>Daten</strong>schutzes.<br />
(2) Auf Anforderung des Deutschen Bundestages oder der Bundesregierung hat der Bundesbeauftragte Gutachten zu<br />
erstellen und Berichte zu erstatten. Auf Ersuchen des Deutschen Bundestages, des Petitionsausschusses, des<br />
Innenausschusses oder der Bundesregierung geht der Bundesbeauftragte ferner Hinweisen auf Angelegenheiten und<br />
Vorgänge des <strong>Daten</strong>schutzes bei den öffentlichen Stellen des Bundes nach. Der Bundesbeauftragte kann sich jederzeit<br />
an den Deutschen Bundestag wenden.<br />
(3) Der Bundesbeauftragte kann der Bundesregierung und den in § 12 Abs. 1 genannten Stellen des Bundes<br />
Empfehlungen zur Verbesserung des <strong>Daten</strong>schutzes geben und sie in Fragen des <strong>Daten</strong>schutzes beraten. Die in § 25<br />
Abs. 1 Nr. 1 bis 4 genannten Stellen sind durch den Bundesbeauftragten zu unterrichten, wenn die Empfehlung oder<br />
Beratung sie nicht unmittelbar betrifft.<br />
(4) Der Bundesbeauftragte wirkt auf die Zusammenarbeit mit den öffentlichen Stellen, die für die Kontrolle der<br />
Einhaltung der Vorschriften über den <strong>Daten</strong>schutz in den Ländern zuständig sind, sowie mit den Aufsichtsbehörden<br />
nach § 38 hin. § 38 Abs. 1 Satz 4 und 5 gilt entsprechend.<br />
Dritter Abschnitt<br />
<strong>Daten</strong>verarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher<br />
Wettbewerbsunternehmen<br />
Nichtamtliches Inhaltsverzeichnis<br />
Erster Unterabschnitt<br />
Rechtsgrundlagen der <strong>Daten</strong>verarbeitung<br />
§ 27 Anwendungsbereich<br />
(1) Die Vorschriften dieses Abschnittes finden Anwendung, soweit personenbezogene <strong>Daten</strong> unter Einsatz von<br />
<strong>Daten</strong>verarbeitungsanlagen verarbeitet, genutzt oder dafür erhoben werden oder die <strong>Daten</strong> in oder aus nicht<br />
automatisierten Dateien verarbeitet, genutzt oder dafür erhoben werden durch<br />
1. nicht-öffentliche Stellen,<br />
2. a) öffentliche Stellen des Bundes, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb<br />
teilnehmen,<br />
b) öffentliche Stellen der Länder, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb<br />
teilnehmen, Bundesrecht ausführen und der <strong>Daten</strong>schutz nicht durch Landesgesetz geregelt ist.<br />
Dies gilt nicht, wenn die Erhebung, Verarbeitung oder Nutzung der <strong>Daten</strong> ausschließlich für persönliche oder familiäre<br />
Tätigkeiten erfolgt. In den Fällen der Nummer 2 Buchstabe a gelten anstelle des § 38 die §§ 18, 21 und 24 bis 26.<br />
(2) Die Vorschriften dieses Abschnittes gelten nicht für die Verarbeitung und Nutzung personenbezogener <strong>Daten</strong><br />
außerhalb von nicht automatisierten Dateien, soweit es sich nicht um personenbezogene <strong>Daten</strong> handelt, die<br />
offensichtlich aus einer automatisierten Verarbeitung entnommen worden sind.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 28 <strong>Daten</strong>erhebung und -speicherung für eigene Geschäftszwecke<br />
(1) Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener <strong>Daten</strong> oder ihre Nutzung als Mittel für die<br />
Erfüllung eigener Geschäftszwecke ist zulässig<br />
1. wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder<br />
rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist,<br />
2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu<br />
der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der<br />
Verarbeitung oder Nutzung überwiegt, oder<br />
3. wenn die <strong>Daten</strong> allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei<br />
denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung<br />
gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt.<br />
Bei der Erhebung personenbezogener <strong>Daten</strong> sind die Zwecke, für die die <strong>Daten</strong> verarbeitet oder genutzt werden sollen,<br />
konkret festzulegen.<br />
(2) Die Übermittlung oder Nutzung für einen anderen Zweck ist zulässig<br />
1. unter den Voraussetzungen des Absatzes 1 Satz 1 Nummer 2 oder Nummer 3,<br />
2. soweit es erforderlich ist,<br />
a) zur Wahrung berechtigter Interessen eines Dritten oder<br />
b)<br />
171
172<br />
zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von<br />
Straftaten<br />
und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem<br />
Ausschluss der Übermittlung oder Nutzung hat, oder<br />
3. wenn es im Interesse einer Forschungseinrichtung zur Durchführung wissenschaftlicher Forschung erforderlich<br />
ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des<br />
Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf<br />
andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.<br />
(3) Die Verarbeitung oder Nutzung personenbezogener <strong>Daten</strong> für Zwecke des Adresshandels oder der Werbung ist<br />
zulässig, soweit der Betroffene eingewilligt hat und im Falle einer nicht schriftlich erteilten Einwilligung die<br />
verantwortliche Stelle nach Absatz 3a verfährt. Darüber hinaus ist die Verarbeitung oder Nutzung personenbezogener<br />
<strong>Daten</strong> zulässig, soweit es sich um listenmäßig oder sonst zusammengefasste <strong>Daten</strong> über Angehörige einer<br />
Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-,<br />
Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr<br />
beschränken, und die Verarbeitung oder Nutzung erforderlich ist<br />
1. für Zwecke der Werbung für eigene Angebote der verantwortlichen Stelle, die diese <strong>Daten</strong> mit Ausnahme der<br />
Angaben zur Gruppenzugehörigkeit beim Betroffenen nach Absatz 1 Satz 1 Nummer 1 oder aus allgemein<br />
zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen erhoben hat,<br />
2. für Zwecke der Werbung im Hinblick auf die berufliche Tätigkeit des Betroffenen und unter seiner beruflichen<br />
Anschrift oder<br />
3. für Zwecke der Werbung für Spenden, die nach § 10b Absatz 1 und § 34g des Einkommensteuergesetzes<br />
steuerbegünstigt sind.<br />
Für Zwecke nach Satz 2 Nummer 1 darf die verantwortliche Stelle zu den dort genannten <strong>Daten</strong> weitere <strong>Daten</strong><br />
hinzuspeichern. Zusammengefasste personenbezogene <strong>Daten</strong> nach Satz 2 dürfen auch dann für Zwecke der Werbung<br />
übermittelt werden, wenn die Übermittlung nach Maßgabe des § 34 Absatz 1a Satz 1 gespeichert wird; in diesem Fall<br />
muss die Stelle, die die <strong>Daten</strong> erstmalig erhoben hat, aus der Werbung eindeutig hervorgehen. Unabhängig vom<br />
Vorliegen der Voraussetzungen des Satzes 2 dürfen personenbezogene <strong>Daten</strong> für Zwecke der Werbung für fremde<br />
Angebote genutzt werden, wenn für den Betroffenen bei der Ansprache zum Zwecke der Werbung die für die Nutzung<br />
der <strong>Daten</strong> verantwortliche Stelle eindeutig erkennbar ist. Eine Verarbeitung oder Nutzung nach den Sätzen 2 bis 4 ist<br />
nur zulässig, soweit schutzwürdige Interessen des Betroffenen nicht entgegenstehen. Nach den Sätzen 1, 2 und 4<br />
übermittelte <strong>Daten</strong> dürfen nur für den Zweck verarbeitet oder genutzt werden, für den sie übermittelt worden sind.<br />
(3a) Wird die Einwilligung nach § 4a Absatz 1 Satz 3 in anderer Form als der Schriftform erteilt, hat die verantwortliche<br />
Stelle dem Betroffenen den Inhalt der Einwilligung schriftlich zu bestätigen, es sei denn, dass die Einwilligung<br />
elektronisch erklärt wird und die verantwortliche Stelle sicherstellt, dass die Einwilligung protokolliert wird und der<br />
Betroffene deren Inhalt jederzeit abrufen und die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Soll<br />
die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie in drucktechnisch deutlicher<br />
Gestaltung besonders hervorzuheben.<br />
(3b) Die verantwortliche Stelle darf den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach<br />
Absatz 3 Satz 1 abhängig machen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen<br />
Leistungen <strong>ohne</strong> die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. Eine unter solchen Umständen<br />
erteilte Einwilligung ist unwirksam.<br />
(4) Widerspricht der Betroffene bei der verantwortlichen Stelle der Verarbeitung oder Nutzung seiner <strong>Daten</strong> für Zwecke<br />
der Werbung oder der Markt- oder Meinungsforschung, ist eine Verarbeitung oder Nutzung für diese Zwecke<br />
unzulässig. Der Betroffene ist bei der Ansprache zum Zweck der Werbung oder der Markt- oder Meinungsforschung<br />
und in den Fällen des Absatzes 1 Satz 1 Nummer 1 auch bei Begründung des rechtsgeschäftlichen oder<br />
rechtsgeschäftsähnlichen Schuldverhältnisses über die verantwortliche Stelle sowie über das Widerspruchsrecht nach<br />
Satz 1 zu unterrichten; soweit der Ansprechende personenbezogene <strong>Daten</strong> des Betroffenen nutzt, die bei einer ihm<br />
nicht bekannten Stelle gespeichert sind, hat er auch sicherzustellen, dass der Betroffene Kenntnis über die Herkunft<br />
der <strong>Daten</strong> erhalten kann. Widerspricht der Betroffene bei dem Dritten, dem die <strong>Daten</strong> im Rahmen der Zwecke nach<br />
Absatz 3 übermittelt worden sind, der Verarbeitung oder Nutzung für Zwecke der Werbung oder der Markt- oder<br />
Meinungsforschung, hat dieser die <strong>Daten</strong> für diese Zwecke zu sperren. In den Fällen des Absatzes 1 Satz 1 Nummer 1<br />
darf für den Widerspruch keine strengere Form verlangt werden als für die Begründung des rechtsgeschäftlichen oder<br />
rechtsgeschäftsähnlichen Schuldverhältnisses.<br />
(5) Der Dritte, dem die <strong>Daten</strong> übermittelt worden sind, darf diese nur für den Zweck verarbeiten oder nutzen, zu dessen<br />
Erfüllung sie ihm übermittelt werden. Eine Verarbeitung oder Nutzung für andere Zwecke ist nicht-öffentlichen Stellen<br />
nur unter den Voraussetzungen der Absätze 2 und 3 und öffentlichen Stellen nur unter den Voraussetzungen des § 14<br />
Abs. 2 erlaubt. Die übermittelnde Stelle hat ihn darauf hinzuweisen.<br />
(6) Das Erheben, Verarbeiten und Nutzen von besonderen Arten personenbezogener <strong>Daten</strong> (§ 3 Abs. 9) für eigene<br />
Geschäftszwecke ist zulässig, soweit nicht der Betroffene nach Maßgabe des § 4a Abs. 3 eingewilligt hat, wenn<br />
1. dies zum <strong>Schutz</strong> lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist, sofern der<br />
Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben,<br />
2. es sich um <strong>Daten</strong> handelt, die der Betroffene offenkundig öffentlich gemacht hat,<br />
3. dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund<br />
zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der<br />
Erhebung, Verarbeitung oder Nutzung überwiegt, oder<br />
4. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der<br />
Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung,<br />
Verarbeitung und Nutzung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur<br />
mit unverhältnismäßigem Aufwand erreicht werden kann.
(7) Das Erheben von besonderen Arten personenbezogener <strong>Daten</strong> (§ 3 Abs. 9) ist ferner zulässig, wenn dies zum<br />
Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für<br />
die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser <strong>Daten</strong> durch ärztliches Personal<br />
oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen. Die Verarbeitung<br />
und Nutzung von <strong>Daten</strong> zu den in Satz 1 genannten Zwecken richtet sich nach den für die in Satz 1 genannten<br />
Personen geltenden Geheimhaltungspflichten. Werden zu einem in Satz 1 genannten Zweck <strong>Daten</strong> über die<br />
Gesundheit von Personen durch Angehörige eines anderen als in § 203 Abs. 1 und 3 des Strafgesetzbuches<br />
genannten Berufes, dessen Ausübung die Feststellung, Heilung oder Linderung von Krankheiten oder die Herstellung<br />
oder den Vertrieb von Hilfsmitteln mit sich bringt, erhoben, verarbeitet oder genutzt, ist dies nur unter den<br />
Voraussetzungen zulässig, unter denen ein Arzt selbst hierzu befugt wäre.<br />
(8) Für einen anderen Zweck dürfen die besonderen Arten personenbezogener <strong>Daten</strong> (§ 3 Abs. 9) nur unter den<br />
Voraussetzungen des Absatzes 6 Nr. 1 bis 4 oder des Absatzes 7 Satz 1 übermittelt oder genutzt werden. Eine<br />
Übermittlung oder Nutzung ist auch zulässig, wenn dies zur Abwehr von erheblichen Gefahren für die staatliche und<br />
öffentliche Sicherheit sowie zur Verfolgung von Straftaten von erheblicher Bedeutung erforderlich ist.<br />
(9) Organisationen, die politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtet sind und keinen<br />
Erwerbszweck verfolgen, dürfen besondere Arten personenbezogener <strong>Daten</strong> (§ 3 Abs. 9) erheben, verarbeiten oder<br />
nutzen, soweit dies für die Tätigkeit der Organisation erforderlich ist. Dies gilt nur für personenbezogene <strong>Daten</strong> ihrer<br />
Mitglieder oder von Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßig Kontakte mit ihr<br />
unterhalten. Die Übermittlung dieser personenbezogenen <strong>Daten</strong> an Personen oder Stellen außerhalb der Organisation<br />
ist nur unter den Voraussetzungen des § 4a Abs. 3 zulässig. Absatz 2 Nummer 2 Buchstabe b gilt entsprechend.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 28a <strong>Daten</strong>übermittlung an Auskunfteien<br />
(1) Die Übermittlung personenbezogener <strong>Daten</strong> über eine Forderung an Auskunfteien ist nur zulässig, soweit die<br />
geschuldete Leistung trotz Fälligkeit nicht erbracht worden ist, die Übermittlung zur Wahrung berechtigter Interessen<br />
der verantwortlichen Stelle oder eines Dritten erforderlich ist und<br />
1. die Forderung durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt worden ist<br />
oder ein Schuldtitel nach § 794 der Zivilprozessordnung vorliegt,<br />
2. die Forderung nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin<br />
bestritten worden ist,<br />
3. der Betroffene die Forderung ausdrücklich anerkannt hat,<br />
4. a) der Betroffene nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt<br />
worden ist,<br />
b) zwischen der ersten Mahnung und der Übermittlung mindestens vier Wochen liegen,<br />
c) die verantwortliche Stelle den Betroffenen rechtzeitig vor der Übermittlung der Angaben, jedoch<br />
frühestens bei der ersten Mahnung über die bevorstehende Übermittlung unterrichtet hat und<br />
d) der Betroffene die Forderung nicht bestritten hat oder<br />
5. das der Forderung zugrunde liegende Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt<br />
werden kann und die verantwortliche Stelle den Betroffenen über die bevorstehende Übermittlung unterrichtet<br />
hat.<br />
Satz 1 gilt entsprechend, wenn die verantwortliche Stelle selbst die <strong>Daten</strong> nach § 29 verwendet.<br />
(2) Zur zukünftigen Übermittlung nach § 29 Abs. 2 dürfen Kreditinstitute personenbezogene <strong>Daten</strong> über die<br />
Begründung, ordnungsgemäße Durchführung und Beendigung eines Vertragsverhältnisses betreffend ein<br />
Bankgeschäft nach § 1 Abs. 1 Satz 2 Nr. 2, 8 oder Nr. 9 des Kreditwesengesetzes an Auskunfteien übermitteln, es sei<br />
denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung gegenüber dem<br />
Interesse der Auskunftei an der Kenntnis der <strong>Daten</strong> offensichtlich überwiegt. Der Betroffene ist vor Abschluss des<br />
Vertrages hierüber zu unterrichten. Satz 1 gilt nicht für Giroverträge, die die Einrichtung eines Kontos <strong>ohne</strong><br />
Überziehungsmöglichkeit zum Gegenstand haben. Zur zukünftigen Übermittlung nach § 29 Abs. 2 ist die Übermittlung<br />
von <strong>Daten</strong> über Verhaltensweisen des Betroffenen, die im Rahmen eines vorvertraglichen Vertrauensverhältnisses der<br />
Herstellung von Markttransparenz dienen, an Auskunfteien auch mit Einwilligung des Betroffenen unzulässig.<br />
(3) Nachträgliche Änderungen der einer Übermittlung nach Absatz 1 oder Absatz 2 zugrunde liegenden Tatsachen hat<br />
die verantwortliche Stelle der Auskunftei innerhalb von einem Monat nach Kenntniserlangung mitzuteilen, solange die<br />
ursprünglich übermittelten <strong>Daten</strong> bei der Auskunftei gespeichert sind. Die Auskunftei hat die übermittelnde Stelle über<br />
die Löschung der ursprünglich übermittelten <strong>Daten</strong> zu unterrichten.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 28b Scoring<br />
Zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit<br />
dem Betroffenen darf ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen erhoben<br />
oder verwendet werden, wenn<br />
1. die zur Berechnung des Wahrscheinlichkeitswerts genutzten <strong>Daten</strong> unter Zugrundelegung eines<br />
wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der<br />
Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind,<br />
2. im Fall der Berechnung des Wahrscheinlichkeitswerts durch eine Auskunftei die Voraussetzungen für eine<br />
Übermittlung der genutzten <strong>Daten</strong> nach § 29 und in allen anderen Fällen die Voraussetzungen einer<br />
zulässigen Nutzung der <strong>Daten</strong> nach § 28 vorliegen,<br />
3. für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt werden,<br />
173
174<br />
4. im Fall der Nutzung von Anschriftendaten der Betroffene vor Berechnung des Wahrscheinlichkeitswerts über<br />
die vorgesehene Nutzung dieser <strong>Daten</strong> unterrichtet worden ist; die Unterrichtung ist zu dokumentieren.<br />
Nichtamtliches Inhaltsverzeichnis<br />
1.<br />
§ 29 Geschäftsmäßige <strong>Daten</strong>erhebung und -speicherung zum Zweck der Übermittlung<br />
(1) Das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen personenbezogener <strong>Daten</strong> zum Zweck der<br />
Übermittlung, insbesondere wenn dies der Werbung, der Tätigkeit von Auskunfteien oder dem Adresshandel dient, ist<br />
zulässig, wenn<br />
1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss<br />
der Erhebung, Speicherung oder Veränderung hat,<br />
2. die <strong>Daten</strong> aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie<br />
veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der<br />
Erhebung, Speicherung oder Veränderung offensichtlich überwiegt, oder<br />
3. die Voraussetzungen des § 28a Abs. 1 oder Abs. 2 erfüllt sind; <strong>Daten</strong> im Sinne von § 28a Abs. 2 Satz 4 dürfen<br />
nicht erhoben oder gespeichert werden.<br />
§ 28 Absatz 1 Satz 2 und Absatz 3 bis 3b ist anzuwenden.<br />
(2) Die Übermittlung im Rahmen der Zwecke nach Absatz 1 ist zulässig, wenn<br />
1. der Dritte, dem die <strong>Daten</strong> übermittelt werden, ein berechtigtes Interesse an ihrer Kenntnis glaubhaft dargelegt<br />
hat und<br />
2. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss<br />
der Übermittlung hat.<br />
§ 28 Absatz 3 bis 3b gilt entsprechend. Bei der Übermittlung nach Satz 1 Nr. 1 sind die Gründe für das Vorliegen eines<br />
berechtigten Interesses und die Art und Weise ihrer glaubhaften Darlegung von der übermittelnden Stelle<br />
aufzuzeichnen. Bei der Übermittlung im automatisierten Abrufverfahren obliegt die Aufzeichnungspflicht dem Dritten,<br />
dem die <strong>Daten</strong> übermittelt werden. Die übermittelnde Stelle hat Stichprobenverfahren nach § 10 Abs. 4 Satz 3<br />
durchzuführen und dabei auch das Vorliegen eines berechtigten Interesses einzelfallbezogen festzustellen und zu<br />
überprüfen.<br />
(3) Die Aufnahme personenbezogener <strong>Daten</strong> in elektronische oder gedruckte Adress-, Rufnummern-, Branchen- oder<br />
vergleichbare Verzeichnisse hat zu unterbleiben, wenn der entgegenstehende Wille des Betroffenen aus dem zugrunde<br />
liegenden elektronischen oder gedruckten Verzeichnis oder Register ersichtlich ist. Der Empfänger der <strong>Daten</strong> hat<br />
sicherzustellen, dass Kennzeichnungen aus elektronischen oder gedruckten Verzeichnissen oder Registern bei der<br />
Übernahme in Verzeichnisse oder Register übernommen werden.<br />
(4) Für die Verarbeitung oder Nutzung der übermittelten <strong>Daten</strong> gilt § 28 Abs. 4 und 5.<br />
(5) § 28 Abs. 6 bis 9 gilt entsprechend.<br />
(6) Eine Stelle, die geschäftsmäßig personenbezogene <strong>Daten</strong>, die zur Bewertung der Kreditwürdigkeit von<br />
Verbrauchern genutzt werden dürfen, zum Zweck der Übermittlung erhebt, speichert oder verändert, hat<br />
Auskunftsverlangen von Darlehensgebern aus anderen Mitgliedstaaten der Europäischen Union oder anderen<br />
Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum genauso zu behandeln wie<br />
Auskunftsverlangen inländischer Darlehensgeber.<br />
(7) Wer den Abschluss eines Verbraucherdarlehensvertrags oder eines Vertrags über eine entgeltliche<br />
Finanzierungshilfe mit einem Verbraucher infolge einer Auskunft einer Stelle im Sinne des Absatzes 6 ablehnt, hat den<br />
Verbraucher unverzüglich hierüber sowie über die erhaltene Auskunft zu unterrichten. Die Unterrichtung unterbleibt,<br />
soweit hierdurch die öffentliche Sicherheit oder Ordnung gefährdet würde. § 6a bleibt unberührt.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 30 Geschäftsmäßige <strong>Daten</strong>erhebung und -speicherung zum Zweck der Übermittlung in anonymisierter Form<br />
(1) Werden personenbezogene <strong>Daten</strong> geschäftsmäßig erhoben und gespeichert, um sie in anonymisierter Form zu<br />
übermitteln, sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche<br />
Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Diese Merkmale<br />
dürfen mit den Einzelangaben nur zusammengeführt werden, soweit dies für die Erfüllung des Zwecks der Speicherung<br />
oder zu wissenschaftlichen Zwecken erforderlich ist.<br />
(2) Die Veränderung personenbezogener <strong>Daten</strong> ist zulässig, wenn<br />
1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss<br />
der Veränderung hat, oder<br />
2. die <strong>Daten</strong> aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie<br />
veröffentlichen dürfte, soweit nicht das schutzwürdige Interesse des Betroffenen an dem Ausschluss der<br />
Veränderung offensichtlich überwiegt.<br />
(3) Die personenbezogenen <strong>Daten</strong> sind zu löschen, wenn ihre Speicherung unzulässig ist.<br />
(4) § 29 gilt nicht.<br />
(5) § 28 Abs. 6 bis 9 gilt entsprechend.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 30a Geschäftsmäßige <strong>Daten</strong>erhebung und -speicherung für Zwecke der Markt- oder Meinungsforschung<br />
(1) Das geschäftsmäßige Erheben, Verarbeiten oder Nutzen personenbezogener <strong>Daten</strong> für Zwecke der Markt- oder<br />
Meinungsforschung ist zulässig, wenn
kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss<br />
der Erhebung, Verarbeitung oder Nutzung hat, oder<br />
2. die <strong>Daten</strong> aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie<br />
veröffentlichen dürfte und das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung,<br />
Verarbeitung oder Nutzung gegenüber dem Interesse der verantwortlichen Stelle nicht offensichtlich überwiegt.<br />
Besondere Arten personenbezogener <strong>Daten</strong> (§ 3 Absatz 9) dürfen nur für ein bestimmtes Forschungsvorhaben<br />
erhoben, verarbeitet oder genutzt werden.<br />
(2) Für Zwecke der Markt- oder Meinungsforschung erhobene oder gespeicherte personenbezogene <strong>Daten</strong> dürfen nur<br />
für diese Zwecke verarbeitet oder genutzt werden. <strong>Daten</strong>, die nicht aus allgemein zugänglichen Quellen entnommen<br />
worden sind und die die verantwortliche Stelle auch nicht veröffentlichen darf, dürfen nur für das Forschungsvorhaben<br />
verarbeitet oder genutzt werden, für das sie erhoben worden sind. Für einen anderen Zweck dürfen sie nur verarbeitet<br />
oder genutzt werden, wenn sie zuvor so anonymisiert werden, dass ein Personenbezug nicht mehr hergestellt werden<br />
kann.<br />
(3) Die personenbezogenen <strong>Daten</strong> sind zu anonymisieren, sobald dies nach dem Zweck des Forschungsvorhabens, für<br />
das die <strong>Daten</strong> erhoben worden sind, möglich ist. Bis dahin sind die Merkmale gesondert zu speichern, mit denen<br />
Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet<br />
werden können. Diese Merkmale dürfen mit den Einzelangaben nur zusammengeführt werden, soweit dies nach dem<br />
Zweck des Forschungsvorhabens erforderlich ist.<br />
(4) § 29 gilt nicht.<br />
(5) § 28 Absatz 4 und 6 bis 9 gilt entsprechend.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 31 Besondere Zweckbindung<br />
Personenbezogene <strong>Daten</strong>, die ausschließlich zu Zwecken der <strong>Daten</strong>schutzkontrolle, der <strong>Daten</strong>sicherung oder zur<br />
Sicherstellung eines ordnungsgemäßen <strong>Betriebe</strong>s einer <strong>Daten</strong>verarbeitungsanlage gespeichert werden, dürfen nur für<br />
diese Zwecke verwendet werden.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 32 <strong>Daten</strong>erhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses<br />
(1) Personenbezogene <strong>Daten</strong> eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben,<br />
verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines<br />
Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder<br />
Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene <strong>Daten</strong> eines Beschäftigten nur<br />
dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht<br />
begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung<br />
oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss<br />
der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass<br />
nicht unverhältnismäßig sind.<br />
(2) Absatz 1 ist auch anzuwenden, wenn personenbezogene <strong>Daten</strong> erhoben, verarbeitet oder genutzt werden, <strong>ohne</strong><br />
dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die<br />
Verarbeitung oder Nutzung in einer solchen Datei erhoben werden.<br />
(3) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.<br />
Nichtamtliches Inhaltsverzeichnis<br />
Zweiter Unterabschnitt<br />
Rechte des Betroffenen<br />
§ 33 Benachrichtigung des Betroffenen<br />
(1) Werden erstmals personenbezogene <strong>Daten</strong> für eigene Zwecke <strong>ohne</strong> Kenntnis des Betroffenen gespeichert, ist der<br />
Betroffene von der Speicherung, der Art der <strong>Daten</strong>, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung<br />
und der Identität der verantwortlichen Stelle zu benachrichtigen. Werden personenbezogene <strong>Daten</strong> geschäftsmäßig<br />
zum Zweck der Übermittlung <strong>ohne</strong> Kenntnis des Betroffenen gespeichert, ist der Betroffene von der erstmaligen<br />
Übermittlung und der Art der übermittelten <strong>Daten</strong> zu benachrichtigen. Der Betroffene ist in den Fällen der Sätze 1 und 2<br />
auch über die Kategorien von Empfängern zu unterrichten, soweit er nach den Umständen des Einzelfalles nicht mit der<br />
Übermittlung an diese rechnen muss.<br />
(2) Eine Pflicht zur Benachrichtigung besteht nicht, wenn<br />
1. der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat,<br />
2. die <strong>Daten</strong> nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher<br />
Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder ausschließlich der <strong>Daten</strong>sicherung oder der<br />
<strong>Daten</strong>schutzkontrolle dienen und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde,<br />
3. die <strong>Daten</strong> nach einer Rechtsvorschrift oder ihrem Wesen nach, namentlich wegen des überwiegenden<br />
rechtlichen Interesses eines Dritten, geheimgehalten werden müssen,<br />
4. die Speicherung oder Übermittlung durch Gesetz ausdrücklich vorgesehen ist,<br />
5. die Speicherung oder Übermittlung für Zwecke der wissenschaftlichen Forschung erforderlich ist und eine<br />
Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde,<br />
6.<br />
175
176<br />
die zuständige öffentliche Stelle gegenüber der verantwortlichen Stelle festgestellt hat, dass das<br />
Bekanntwerden der <strong>Daten</strong> die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des<br />
Bundes oder eines Landes Nachteile bereiten würde,<br />
7. die <strong>Daten</strong> für eigene Zwecke gespeichert sind und<br />
a) aus allgemein zugänglichen Quellen entnommen sind und eine Benachrichtigung wegen der Vielzahl<br />
der betroffenen Fälle unverhältnismäßig ist, oder<br />
b) die Benachrichtigung die Geschäftszwecke der verantwortlichen Stelle erheblich gefährden würde, es<br />
sei denn, dass das Interesse an der Benachrichtigung die Gefährdung überwiegt,<br />
8. die <strong>Daten</strong> geschäftsmäßig zum Zweck der Übermittlung gespeichert sind und<br />
a) aus allgemein zugänglichen Quellen entnommen sind, soweit sie sich auf diejenigen Personen<br />
beziehen, die diese <strong>Daten</strong> veröffentlicht haben, oder<br />
b) es sich um listenmäßig oder sonst zusammengefasste <strong>Daten</strong> handelt (§ 29 Absatz 2 Satz 2)<br />
und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist,<br />
9. aus allgemein zugänglichen Quellen entnommene <strong>Daten</strong> geschäftsmäßig für Zwecke der Markt- oder<br />
Meinungsforschung gespeichert sind und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle<br />
unverhältnismäßig ist.<br />
Die verantwortliche Stelle legt schriftlich fest, unter welchen Voraussetzungen von einer Benachrichtigung nach Satz 1<br />
Nr. 2 bis 7 abgesehen wird.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 34 Auskunft an den Betroffenen<br />
(1) Die verantwortliche Stelle hat dem Betroffenen auf Verlangen Auskunft zu erteilen über<br />
1. die zu seiner Person gespeicherten <strong>Daten</strong>, auch soweit sie sich auf die Herkunft dieser <strong>Daten</strong> beziehen,<br />
2. den Empfänger oder die Kategorien von Empfängern, an die <strong>Daten</strong> weitergegeben werden, und<br />
3. den Zweck der Speicherung.<br />
Der Betroffene soll die Art der personenbezogenen <strong>Daten</strong>, über die Auskunft erteilt werden soll, näher bezeichnen.<br />
Werden die personenbezogenen <strong>Daten</strong> geschäftsmäßig zum Zweck der Übermittlung gespeichert, ist Auskunft über die<br />
Herkunft und die Empfänger auch dann zu erteilen, wenn diese Angaben nicht gespeichert sind. Die Auskunft über die<br />
Herkunft und die Empfänger kann verweigert werden, soweit das Interesse an der Wahrung des<br />
Geschäftsgeheimnisses gegenüber dem Informationsinteresse des Betroffenen überwiegt.<br />
(1a) Im Fall des § 28 Absatz 3 Satz 4 hat die übermittelnde Stelle die Herkunft der <strong>Daten</strong> und den Empfänger für die<br />
Dauer von zwei Jahren nach der Übermittlung zu speichern und dem Betroffenen auf Verlangen Auskunft über die<br />
Herkunft der <strong>Daten</strong> und den Empfänger zu erteilen. Satz 1 gilt entsprechend für den Empfänger.<br />
(2) Im Fall des § 28b hat die für die Entscheidung verantwortliche Stelle dem Betroffenen auf Verlangen Auskunft zu<br />
erteilen über<br />
1. die innerhalb der letzten sechs Monate vor dem Zugang des Auskunftsverlangens erhobenen oder erstmalig<br />
gespeicherten Wahrscheinlichkeitswerte,<br />
2. die zur Berechnung der Wahrscheinlichkeitswerte genutzten <strong>Daten</strong>arten und<br />
3. das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar<br />
in allgemein verständlicher Form.<br />
Satz 1 gilt entsprechend, wenn die für die Entscheidung verantwortliche Stelle<br />
1. die zur Berechnung der Wahrscheinlichkeitswerte genutzten <strong>Daten</strong> <strong>ohne</strong> Personenbezug speichert, den<br />
Personenbezug aber bei der Berechnung herstellt oder<br />
2. bei einer anderen Stelle gespeicherte <strong>Daten</strong> nutzt.<br />
Hat eine andere als die für die Entscheidung verantwortliche Stelle<br />
1. den Wahrscheinlichkeitswert oder<br />
2. einen Bestandteil des Wahrscheinlichkeitswerts<br />
berechnet, hat sie die insoweit zur Erfüllung der Auskunftsansprüche nach den Sätzen 1 und 2 erforderlichen Angaben<br />
auf Verlangen der für die Entscheidung verantwortlichen Stelle an diese zu übermitteln. Im Fall des Satzes 3 Nr. 1 hat<br />
die für die Entscheidung verantwortliche Stelle den Betroffenen zur Geltendmachung seiner Auskunftsansprüche unter<br />
Angabe des Namens und der Anschrift der anderen Stelle sowie der zur Bezeichnung des Einzelfalls notwendigen<br />
Angaben unverzüglich an diese zu verweisen, soweit sie die Auskunft nicht selbst erteilt. In diesem Fall hat die andere<br />
Stelle, die den Wahrscheinlichkeitswert berechnet hat, die Auskunftsansprüche nach den Sätzen 1 und 2 gegenüber<br />
dem Betroffenen unentgeltlich zu erfüllen. Die Pflicht der für die Berechnung des Wahrscheinlichkeitswerts<br />
verantwortlichen Stelle nach Satz 3 entfällt, soweit die für die Entscheidung verantwortliche Stelle von ihrem Recht<br />
nach Satz 4 Gebrauch macht.<br />
(3) Eine Stelle, die geschäftsmäßig personenbezogene <strong>Daten</strong> zum Zweck der Übermittlung speichert, hat dem<br />
Betroffenen auf Verlangen Auskunft über die zu seiner Person gespeicherten <strong>Daten</strong> zu erteilen, auch wenn sie weder<br />
automatisiert verarbeitet werden noch in einer nicht automatisierten Datei gespeichert sind. Dem Betroffenen ist auch<br />
Auskunft zu erteilen über <strong>Daten</strong>, die<br />
1. gegenwärtig noch keinen Personenbezug aufweisen, bei denen ein solcher aber im Zusammenhang mit der<br />
Auskunftserteilung von der verantwortlichen Stelle hergestellt werden soll,
2. die verantwortliche Stelle nicht speichert, aber zum Zweck der Auskunftserteilung nutzt.<br />
Die Auskunft über die Herkunft und die Empfänger kann verweigert werden, soweit das Interesse an der Wahrung des<br />
Geschäftsgeheimnisses gegenüber dem Informationsinteresse des Betroffenen überwiegt.<br />
(4) Eine Stelle, die geschäftsmäßig personenbezogene <strong>Daten</strong> zum Zweck der Übermittlung erhebt, speichert oder<br />
verändert, hat dem Betroffenen auf Verlangen Auskunft zu erteilen über<br />
1. die innerhalb der letzten zwölf Monate vor dem Zugang des Auskunftsverlangens übermittelten<br />
Wahrscheinlichkeitswerte für ein bestimmtes zukünftiges Verhalten des Betroffenen sowie die Namen und<br />
letztbekannten Anschriften der Dritten, an die die Werte übermittelt worden sind,<br />
2. die Wahrscheinlichkeitswerte, die sich zum Zeitpunkt des Auskunftsverlangens nach den von der Stelle zur<br />
Berechnung angewandten Verfahren ergeben,<br />
3. die zur Berechnung der Wahrscheinlichkeitswerte nach den Nummern 1 und 2 genutzten <strong>Daten</strong>arten sowie<br />
4. das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar<br />
in allgemein verständlicher Form.<br />
Satz 1 gilt entsprechend, wenn die verantwortliche Stelle<br />
1. die zur Berechnung des Wahrscheinlichkeitswerts genutzten <strong>Daten</strong> <strong>ohne</strong> Personenbezug speichert, den<br />
Personenbezug aber bei der Berechnung herstellt oder<br />
2. bei einer anderen Stelle gespeicherte <strong>Daten</strong> nutzt.<br />
(5) Die nach den Absätzen 1a bis 4 zum Zweck der Auskunftserteilung an den Betroffenen gespeicherten <strong>Daten</strong> dürfen<br />
nur für diesen Zweck sowie für Zwecke der <strong>Daten</strong>schutzkontrolle verwendet werden; für andere Zwecke sind sie zu<br />
sperren.<br />
(6) Die Auskunft ist auf Verlangen in Textform zu erteilen, soweit nicht wegen der besonderen Umstände eine andere<br />
Form der Auskunftserteilung angemessen ist.<br />
(7) Eine Pflicht zur Auskunftserteilung besteht nicht, wenn der Betroffene nach § 33 Abs. 2 Satz 1 Nr. 2, 3 und 5 bis 7<br />
nicht zu benachrichtigen ist.<br />
(8) Die Auskunft ist unentgeltlich. Werden die personenbezogenen <strong>Daten</strong> geschäftsmäßig zum Zweck der Übermittlung<br />
gespeichert, kann der Betroffene einmal je Kalenderjahr eine unentgeltliche Auskunft in Textform verlangen. Für jede<br />
weitere Auskunft kann ein Entgelt verlangt werden, wenn der Betroffene die Auskunft gegenüber Dritten zu<br />
wirtschaftlichen Zwecken nutzen kann. Das Entgelt darf über die durch die Auskunftserteilung entstandenen unmittelbar<br />
zurechenbaren Kosten nicht hinausgehen. Ein Entgelt kann nicht verlangt werden, wenn<br />
1. besondere Umstände die Annahme rechtfertigen, dass <strong>Daten</strong> unrichtig oder unzulässig gespeichert werden,<br />
oder<br />
2. die Auskunft ergibt, dass die <strong>Daten</strong> nach § 35 Abs. 1 zu berichtigen oder nach § 35 Abs. 2 Satz 2 Nr. 1 zu<br />
löschen sind.<br />
(9) Ist die Auskunftserteilung nicht unentgeltlich, ist dem Betroffenen die Möglichkeit zu geben, sich im Rahmen seines<br />
Auskunftsanspruchs persönlich Kenntnis über die ihn betreffenden <strong>Daten</strong> zu verschaffen. Er ist hierauf hinzuweisen.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 35 Berichtigung, Löschung und Sperrung von <strong>Daten</strong><br />
(1) Personenbezogene <strong>Daten</strong> sind zu berichtigen, wenn sie unrichtig sind. Geschätzte <strong>Daten</strong> sind als solche deutlich zu<br />
kennzeichnen.<br />
(2) Personenbezogene <strong>Daten</strong> können außer in den Fällen des Absatzes 3 Nr. 1 und 2 jederzeit gelöscht werden.<br />
Personenbezogene <strong>Daten</strong> sind zu löschen, wenn<br />
1. ihre Speicherung unzulässig ist,<br />
2. es sich um <strong>Daten</strong> über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder<br />
philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben, strafbare Handlungen<br />
oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden<br />
kann,<br />
3. sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung<br />
nicht mehr erforderlich ist, oder<br />
4. sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des<br />
vierten, soweit es sich um <strong>Daten</strong> über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht<br />
widerspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen<br />
Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist.<br />
Personenbezogene <strong>Daten</strong>, die auf der Grundlage von § 28a Abs. 2 Satz 1 oder § 29 Abs. 1 Satz 1 Nr. 3 gespeichert<br />
werden, sind nach Beendigung des Vertrages auch zu löschen, wenn der Betroffene dies verlangt.<br />
(3) An die Stelle einer Löschung tritt eine Sperrung, soweit<br />
1. im Fall des Absatzes 2 Satz 2 Nr. 3 einer Löschung gesetzliche, satzungsmäßige oder vertragliche<br />
Aufbewahrungsfristen entgegenstehen,<br />
2. Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen<br />
beeinträchtigt würden, oder<br />
3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem<br />
Aufwand möglich ist.<br />
(4) Personenbezogene <strong>Daten</strong> sind ferner zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich<br />
weder die Richtigkeit noch die Unrichtigkeit feststellen lässt.<br />
177
178<br />
(4a) Die Tatsache der Sperrung darf nicht übermittelt werden.<br />
(5) Personenbezogene <strong>Daten</strong> dürfen nicht für eine automatisierte Verarbeitung oder Verarbeitung in nicht<br />
automatisierten Dateien erhoben, verarbeitet oder genutzt werden, soweit der Betroffene dieser bei der<br />
verantwortlichen Stelle widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse des Betroffenen wegen<br />
seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung<br />
oder Nutzung überwiegt. Satz 1 gilt nicht, wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung<br />
verpflichtet.<br />
(6) Personenbezogene <strong>Daten</strong>, die unrichtig sind oder deren Richtigkeit bestritten wird, müssen bei der<br />
geschäftsmäßigen <strong>Daten</strong>speicherung zum Zweck der Übermittlung außer in den Fällen des Absatzes 2 Nr. 2 nicht<br />
berichtigt, gesperrt oder gelöscht werden, wenn sie aus allgemein zugänglichen Quellen entnommen und zu<br />
Dokumentationszwecken gespeichert sind. Auf Verlangen des Betroffenen ist diesen <strong>Daten</strong> für die Dauer der<br />
Speicherung seine Gegendarstellung beizufügen. Die <strong>Daten</strong> dürfen nicht <strong>ohne</strong> diese Gegendarstellung übermittelt<br />
werden.<br />
(7) Von der Berichtigung unrichtiger <strong>Daten</strong>, der Sperrung bestrittener <strong>Daten</strong> sowie der Löschung oder Sperrung wegen<br />
Unzulässigkeit der Speicherung sind die Stellen zu verständigen, denen im Rahmen einer <strong>Daten</strong>übermittlung diese<br />
<strong>Daten</strong> zur Speicherung weitergegeben wurden, wenn dies keinen unverhältnismäßigen Aufwand erfordert und<br />
schutzwürdige Interessen des Betroffenen nicht entgegenstehen.<br />
(8) Gesperrte <strong>Daten</strong> dürfen <strong>ohne</strong> Einwilligung des Betroffenen nur übermittelt oder genutzt werden, wenn<br />
1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im<br />
überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerläßlich ist und<br />
2. die <strong>Daten</strong> hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären.<br />
Nichtamtliches Inhaltsverzeichnis<br />
(weggefallen)<br />
Nichtamtliches Inhaltsverzeichnis<br />
Dritter Unterabschnitt<br />
Aufsichtsbehörde<br />
§§ 36 und 37<br />
§ 38 Aufsichtsbehörde<br />
(1) Die Aufsichtsbehörde kontrolliert die Ausführung dieses Gesetzes sowie anderer Vorschriften über den<br />
<strong>Daten</strong>schutz, soweit diese die automatisierte Verarbeitung personenbezogener <strong>Daten</strong> oder die Verarbeitung oder<br />
Nutzung personenbezogener <strong>Daten</strong> in oder aus nicht automatisierten Dateien regeln einschließlich des Rechts der<br />
Mitgliedstaaten in den Fällen des § 1 Abs. 5. Sie berät und unterstützt die Beauftragten für den <strong>Daten</strong>schutz und die<br />
verantwortlichen Stellen mit Rücksicht auf deren typische Bedürfnisse. Die Aufsichtsbehörde darf die von ihr<br />
gespeicherten <strong>Daten</strong> nur für Zwecke der Aufsicht verarbeiten und nutzen; § 14 Abs. 2 Nr. 1 bis 3, 6 und 7 gilt<br />
entsprechend. Insbesondere darf die Aufsichtsbehörde zum Zweck der Aufsicht <strong>Daten</strong> an andere Aufsichtsbehörden<br />
übermitteln. Sie leistet den Aufsichtsbehörden anderer Mitgliedstaaten der Europäischen Union auf Ersuchen<br />
ergänzende Hilfe (Amtshilfe). Stellt die Aufsichtsbehörde einen Verstoß gegen dieses Gesetz oder andere Vorschriften<br />
über den <strong>Daten</strong>schutz fest, so ist sie befugt, die Betroffenen hierüber zu unterrichten, den Verstoß bei den für die<br />
Verfolgung oder Ahndung zuständigen Stellen anzuzeigen sowie bei schwerwiegenden Verstößen die<br />
Gewerbeaufsichtsbehörde zur Durchführung gewerberechtlicher Maßnahmen zu unterrichten. Sie veröffentlicht<br />
regelmäßig, spätestens alle zwei Jahre, einen Tätigkeitsbericht. § 21 Satz 1 und § 23 Abs. 5 Satz 4 bis 7 gelten<br />
entsprechend.<br />
(2) Die Aufsichtsbehörde führt ein Register der nach § 4d meldepflichtigen automatisierten Verarbeitungen mit den<br />
Angaben nach § 4e Satz 1. Das Register kann von jedem eingesehen werden. Das Einsichtsrecht erstreckt sich nicht<br />
auf die Angaben nach § 4e Satz 1 Nr. 9 sowie auf die Angabe der zugriffsberechtigten Personen.<br />
(3) Die der Kontrolle unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen haben der<br />
Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte unverzüglich zu erteilen.<br />
Der Auskunftspflichtige kann die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der<br />
in § 383 Abs. 1 Nr. 1 bis 3 der Zivilprozessordnung bezeichneten Angehörigen der Gefahr strafgerichtlicher Verfolgung<br />
oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. Der Auskunftspflichtige ist<br />
darauf hinzuweisen.<br />
(4) Die von der Aufsichtsbehörde mit der Kontrolle beauftragten Personen sind befugt, soweit es zur Erfüllung der der<br />
Aufsichtsbehörde übertragenen Aufgaben erforderlich ist, während der Betriebs- und Geschäftszeiten Grundstücke und<br />
Geschäftsräume der Stelle zu betreten und dort Prüfungen und Besichtigungen vorzunehmen. Sie können<br />
geschäftliche Unterlagen, insbesondere die Übersicht nach § 4g Abs. 2 Satz 1 sowie die gespeicherten<br />
personenbezogenen <strong>Daten</strong> und die <strong>Daten</strong>verarbeitungsprogramme, einsehen. § 24 Abs. 6 gilt entsprechend. Der<br />
Auskunftspflichtige hat diese Maßnahmen zu dulden.<br />
(5) Zur Gewährleistung der Einhaltung dieses Gesetzes und anderer Vorschriften über den <strong>Daten</strong>schutz kann die<br />
Aufsichtsbehörde Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung<br />
personenbezogener <strong>Daten</strong> oder technischer oder organisatorischer Mängel anordnen. Bei schwerwiegenden<br />
Verstößen oder Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts<br />
verbunden sind, kann sie die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen,<br />
wenn die Verstöße oder Mängel entgegen der Anordnung nach Satz 1 und trotz der Verhängung eines Zwangsgeldes<br />
nicht in angemessener Zeit beseitigt werden. Sie kann die Abberufung des Beauftragten für den <strong>Daten</strong>schutz<br />
verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht besitzt.<br />
(6) Die Landesregierungen oder die von ihnen ermächtigten Stellen bestimmen die für die Kontrolle der Durchführung<br />
des <strong>Daten</strong>schutzes im Anwendungsbereich dieses Abschnittes zuständigen Aufsichtsbehörden.
(7) Die Anwendung der Gewerbeordnung auf die den Vorschriften dieses Abschnittes unterliegenden Gewerbebetriebe<br />
bleibt unberührt.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 38a Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen<br />
(1) Berufsverbände und andere Vereinigungen, die bestimmte Gruppen von verantwortlichen Stellen vertreten, können<br />
Entwürfe für Verhaltensregeln zur Förderung der Durchführung von datenschutzrechtlichen Regelungen der<br />
zuständigen Aufsichtsbehörde unterbreiten.<br />
(2) Die Aufsichtsbehörde überprüft die Vereinbarkeit der ihr unterbreiteten Entwürfe mit dem geltenden<br />
<strong>Daten</strong>schutzrecht.<br />
Nichtamtliches Inhaltsverzeichnis<br />
Vierter Abschnitt<br />
Sondervorschriften<br />
§ 39 Zweckbindung bei personenbezogenen <strong>Daten</strong>, die einem Berufs- oder besonderen Amtsgeheimnis<br />
unterliegen<br />
(1) Personenbezogene <strong>Daten</strong>, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen und die von der zur<br />
Verschwiegenheit verpflichteten Stelle in Ausübung ihrer Berufs- oder Amtspflicht zur Verfügung gestellt worden sind,<br />
dürfen von der verantwortlichen Stelle nur für den Zweck verarbeitet oder genutzt werden, für den sie sie erhalten hat.<br />
In die Übermittlung an eine nicht-öffentliche Stelle muss die zur Verschwiegenheit verpflichtete Stelle einwilligen.<br />
(2) Für einen anderen Zweck dürfen die <strong>Daten</strong> nur verarbeitet oder genutzt werden, wenn die Änderung des Zwecks<br />
durch besonderes Gesetz zugelassen ist.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 40 Verarbeitung und Nutzung personenbezogener <strong>Daten</strong> durch Forschungseinrichtungen<br />
(1) Für Zwecke der wissenschaftlichen Forschung erhobene oder gespeicherte personenbezogene <strong>Daten</strong> dürfen nur für<br />
Zwecke der wissenschaftlichen Forschung verarbeitet oder genutzt werden.<br />
(2) Die personenbezogenen <strong>Daten</strong> sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. Bis<br />
dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche<br />
Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. Sie dürfen mit den<br />
Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert.<br />
(3) Die wissenschaftliche Forschung betreibenden Stellen dürfen personenbezogene <strong>Daten</strong> nur veröffentlichen, wenn<br />
1. der Betroffene eingewilligt hat oder<br />
2. dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 41 Erhebung, Verarbeitung und Nutzung personenbezogener <strong>Daten</strong> durch die Medien<br />
(1) Die Länder haben in ihrer Gesetzgebung vorzusehen, dass für die Erhebung, Verarbeitung und Nutzung<br />
personenbezogener <strong>Daten</strong> von Unternehmen und Hilfsunternehmen der Presse ausschließlich zu eigenen<br />
journalistisch-redaktionellen oder literarischen Zwecken den Vorschriften der §§ 5, 9 und 38a entsprechende<br />
Regelungen einschließlich einer hierauf bezogenen Haftungsregelung entsprechend § 7 zur Anwendung kommen.<br />
(2) Führt die journalistisch-redaktionelle Erhebung, Verarbeitung oder Nutzung personenbezogener <strong>Daten</strong> durch die<br />
Deutsche Welle zur Veröffentlichung von Gegendarstellungen des Betroffenen, so sind diese Gegendarstellungen zu<br />
den gespeicherten <strong>Daten</strong> zu nehmen und für dieselbe Zeitdauer aufzubewahren wie die <strong>Daten</strong> selbst.<br />
(3) Wird jemand durch eine Berichterstattung der Deutschen Welle in seinem Persönlichkeitsrecht beeinträchtigt, so<br />
kann er Auskunft über die der Berichterstattung zugrunde liegenden, zu seiner Person gespeicherten <strong>Daten</strong> verlangen.<br />
Die Auskunft kann nach Abwägung der schutzwürdigen Interessen der Beteiligten verweigert werden, soweit<br />
1. aus den <strong>Daten</strong> auf Personen, die bei der Vorbereitung, Herstellung oder Verbreitung von Rundfunksendungen<br />
berufsmäßig journalistisch mitwirken oder mitgewirkt haben, geschlossen werden kann,<br />
2. aus den <strong>Daten</strong> auf die Person des Einsenders oder des Gewährsträgers von Beiträgen, Unterlagen und<br />
Mitteilungen für den redaktionellen Teil geschlossen werden kann,<br />
3. durch die Mitteilung der recherchierten oder sonst erlangten <strong>Daten</strong> die journalistische Aufgabe der Deutschen<br />
Welle durch Ausforschung des Informationsbestandes beeinträchtigt würde.<br />
Der Betroffene kann die Berichtigung unrichtiger <strong>Daten</strong> verlangen.<br />
(4) Im Übrigen gelten für die Deutsche Welle von den Vorschriften dieses Gesetzes die §§ 5, 7, 9 und 38a. Anstelle der<br />
§§ 24 bis 26 gilt § 42, auch soweit es sich um Verwaltungsangelegenheiten handelt.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 42 <strong>Daten</strong>schutzbeauftragter der Deutschen Welle<br />
(1) Die Deutsche Welle bestellt einen Beauftragten für den <strong>Daten</strong>schutz, der an die Stelle des Bundesbeauftragten für<br />
den <strong>Daten</strong>schutz und die Informationsfreiheit tritt. Die Bestellung erfolgt auf Vorschlag des Intendanten durch den<br />
Verwaltungsrat für die Dauer von vier Jahren, wobei Wiederbestellungen zulässig sind. Das Amt eines Beauftragten für<br />
den <strong>Daten</strong>schutz kann neben anderen Aufgaben innerhalb der Rundfunkanstalt wahrgenommen werden.<br />
179
180<br />
(2) Der Beauftragte für den <strong>Daten</strong>schutz kontrolliert die Einhaltung der Vorschriften dieses Gesetzes sowie anderer<br />
Vorschriften über den <strong>Daten</strong>schutz. Er ist in Ausübung dieses Amtes unabhängig und nur dem Gesetz unterworfen. Im<br />
Übrigen untersteht er der Dienst- und Rechtsaufsicht des Verwaltungsrates.<br />
(3) Jedermann kann sich entsprechend § 21 Satz 1 an den Beauftragten für den <strong>Daten</strong>schutz wenden.<br />
(4) Der Beauftragte für den <strong>Daten</strong>schutz erstattet den Organen der Deutschen Welle alle zwei Jahre, erstmals zum 1.<br />
Januar 1994 einen Tätigkeitsbericht. Er erstattet darüber hinaus besondere Berichte auf Beschluss eines Organes der<br />
Deutschen Welle. Die Tätigkeitsberichte übermittelt der Beauftragte auch an den Bundesbeauftragten für den<br />
<strong>Daten</strong>schutz und die Informationsfreiheit.<br />
(5) Weitere Regelungen entsprechend den §§ 23 bis 26 trifft die Deutsche Welle für ihren Bereich. Die §§ 4f und 4g<br />
bleiben unberührt.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von <strong>Daten</strong><br />
Stellt eine nichtöffentliche Stelle im Sinne des § 2 Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 Satz 1<br />
Nummer 2 fest, dass bei ihr gespeicherte<br />
1. besondere Arten personenbezogener <strong>Daten</strong> (§ 3 Absatz 9),<br />
2. personenbezogene <strong>Daten</strong>, die einem Berufsgeheimnis unterliegen,<br />
3. personenbezogene <strong>Daten</strong>, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht<br />
strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder<br />
4. personenbezogene <strong>Daten</strong> zu Bank- oder Kreditkartenkonten<br />
unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen<br />
schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach<br />
den Sätzen 2 bis 5 unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Die<br />
Benachrichtigung des Betroffenen muss unverzüglich erfolgen, sobald angemessene Maßnahmen zur Sicherung der<br />
<strong>Daten</strong> ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird. Die<br />
Benachrichtigung der Betroffenen muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und<br />
Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die Benachrichtigung der<br />
zuständigen Aufsichtsbehörde muss zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen<br />
Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen enthalten. Soweit die Benachrichtigung<br />
der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der<br />
betroffenen Fälle, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite<br />
umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit<br />
hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme. Eine Benachrichtigung, die der<br />
Benachrichtigungspflichtige erteilt hat, darf in einem Strafverfahren oder in einem Verfahren nach dem Gesetz über<br />
Ordnungswidrigkeiten gegen ihn oder einen in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen des<br />
Benachrichtigungspflichtigen nur mit Zustimmung des Benachrichtigungspflichtigen verwendet werden.<br />
Nichtamtliches Inhaltsverzeichnis<br />
Fünfter Abschnitt<br />
Schlussvorschriften<br />
§ 43 Bußgeldvorschriften<br />
(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig<br />
1. entgegen § 4d Abs. 1, auch in Verbindung mit § 4e Satz 2, eine Meldung nicht, nicht richtig, nicht vollständig<br />
oder nicht rechtzeitig macht,<br />
2. entgegen § 4f Abs. 1 Satz 1 oder 2, jeweils auch in Verbindung mit Satz 3 und 6, einen Beauftragten für den<br />
<strong>Daten</strong>schutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt,<br />
2a. entgegen § 10 Absatz 4 Satz 3 nicht gewährleistet, dass die <strong>Daten</strong>übermittlung festgestellt und überprüft<br />
werden kann,<br />
2b. entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen<br />
Weise erteilt oder entgegen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der <strong>Daten</strong>verarbeitung von der<br />
Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt,<br />
3. entgegen § 28 Abs. 4 Satz 2 den Betroffenen nicht, nicht richtig oder nicht rechtzeitig unterrichtet oder nicht<br />
sicherstellt, dass der Betroffene Kenntnis erhalten kann,<br />
3a. entgegen § 28 Absatz 4 Satz 4 eine strengere Form verlangt,<br />
4. entgegen § 28 Abs. 5 Satz 2 personenbezogene <strong>Daten</strong> übermittelt oder nutzt,<br />
4a. entgegen § 28a Abs. 3 Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht,<br />
5. entgegen § 29 Abs. 2 Satz 3 oder 4 die dort bezeichneten Gründe oder die Art und Weise ihrer glaubhaften<br />
Darlegung nicht aufzeichnet,<br />
6. entgegen § 29 Abs. 3 Satz 1 personenbezogene <strong>Daten</strong> in elektronische oder gedruckte Adress-, Rufnummern-<br />
, Branchen- oder vergleichbare Verzeichnisse aufnimmt,<br />
7. entgegen § 29 Abs. 3 Satz 2 die Übernahme von Kennzeichnungen nicht sicherstellt,<br />
7a. entgegen § 29 Abs. 6 ein Auskunftsverlangen nicht richtig behandelt,
7b. entgegen § 29 Abs. 7 Satz 1 einen Verbraucher nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig<br />
unterrichtet,<br />
8. entgegen § 33 Abs. 1 den Betroffenen nicht, nicht richtig oder nicht vollständig benachrichtigt,<br />
8a. entgegen § 34 Absatz 1 Satz 1, auch in Verbindung mit Satz 3, entgegen § 34 Absatz 1a, entgegen § 34<br />
Absatz 2 Satz 1, auch in Verbindung mit Satz 2, oder entgegen § 34 Absatz 2 Satz 5, Absatz 3 Satz 1 oder<br />
Satz 2 oder Absatz 4 Satz 1, auch in Verbindung mit Satz 2, eine Auskunft nicht, nicht richtig, nicht vollständig<br />
oder nicht rechtzeitig erteilt oder entgegen § 34 Absatz 1a <strong>Daten</strong> nicht speichert,<br />
8b. entgegen § 34 Abs. 2 Satz 3 Angaben nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt,<br />
8c. entgegen § 34 Abs. 2 Satz 4 den Betroffenen nicht oder nicht rechtzeitig an die andere Stelle verweist,<br />
9. entgegen § 35 Abs. 6 Satz 3 <strong>Daten</strong> <strong>ohne</strong> Gegendarstellung übermittelt,<br />
10. entgegen § 38 Abs. 3 Satz 1 oder Abs. 4 Satz 1 eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht<br />
rechtzeitig erteilt oder eine Maßnahme nicht duldet oder<br />
11. einer vollziehbaren Anordnung nach § 38 Abs. 5 Satz 1 zuwiderhandelt.<br />
(2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig<br />
1. unbefugt personenbezogene <strong>Daten</strong>, die nicht allgemein zugänglich sind, erhebt oder verarbeitet,<br />
2. unbefugt personenbezogene <strong>Daten</strong>, die nicht allgemein zugänglich sind, zum Abruf mittels automatisierten<br />
Verfahrens bereithält,<br />
3. unbefugt personenbezogene <strong>Daten</strong>, die nicht allgemein zugänglich sind, abruft oder sich oder einem anderen<br />
aus automatisierten Verarbeitungen oder nicht automatisierten Dateien verschafft,<br />
4. die Übermittlung von personenbezogenen <strong>Daten</strong>, die nicht allgemein zugänglich sind, durch unrichtige<br />
Angaben erschleicht,<br />
5. entgegen § 16 Abs. 4 Satz 1, § 28 Abs. 5 Satz 1, auch in Verbindung mit § 29 Abs. 4, § 39 Abs. 1 Satz 1 oder<br />
§ 40 Abs. 1, die übermittelten <strong>Daten</strong> für andere Zwecke nutzt,<br />
5a. entgegen § 28 Absatz 3b den Abschluss eines Vertrages von der Einwilligung des Betroffenen abhängig<br />
macht,<br />
5b. entgegen § 28 Absatz 4 Satz 1 <strong>Daten</strong> für Zwecke der Werbung oder der Markt- oder Meinungsforschung<br />
verarbeitet oder nutzt,<br />
6. entgegen § 30 Absatz 1 Satz 2, § 30a Absatz 3 Satz 3 oder § 40 Absatz 2 Satz 3 ein dort genanntes Merkmal<br />
mit einer Einzelangabe zusammenführt oder<br />
7. entgegen § 42a Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht.<br />
(3) Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Euro, in den Fällen<br />
des Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend Euro geahndet werden. Die Geldbuße soll den<br />
wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1<br />
genannten Beträge hierfür nicht aus, so können sie überschritten werden.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 44 Strafvorschriften<br />
(1) Wer eine in § 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen<br />
anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit<br />
Geldstrafe bestraft.<br />
(2) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind der Betroffene, die verantwortliche Stelle, der<br />
Bundesbeauftragte für den <strong>Daten</strong>schutz und die Informationsfreiheit und die Aufsichtsbehörde.<br />
Nichtamtliches Inhaltsverzeichnis<br />
Sechster Abschnitt<br />
Übergangsvorschriften<br />
§ 45 Laufende Verwendungen<br />
Erhebungen, Verarbeitungen oder Nutzungen personenbezogener <strong>Daten</strong>, die am 23. Mai 2001 bereits begonnen<br />
haben, sind binnen drei Jahren nach diesem Zeitpunkt mit den Vorschriften dieses Gesetzes in Übereinstimmung zu<br />
bringen. Soweit Vorschriften dieses Gesetzes in Rechtsvorschriften außerhalb des Anwendungsbereichs der Richtlinie<br />
95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum <strong>Schutz</strong> natürlicher Personen bei<br />
der Verarbeitung personenbezogener <strong>Daten</strong> und zum freien <strong>Daten</strong>verkehr zur Anwendung gelangen, sind Erhebungen,<br />
Verarbeitungen oder Nutzungen personenbezogener <strong>Daten</strong>, die am 23. Mai 2001 bereits begonnen haben, binnen fünf<br />
Jahren nach diesem Zeitpunkt mit den Vorschriften dieses Gesetzes in Übereinstimmung zu bringen.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 46 Weitergeltung von Begriffsbestimmungen<br />
(1) Wird in besonderen Rechtsvorschriften des Bundes der Begriff Datei verwendet, ist Datei<br />
1. eine Sammlung personenbezogener <strong>Daten</strong>, die durch automatisierte Verfahren nach bestimmten Merkmalen<br />
ausgewertet werden kann (automatisierte Datei), oder<br />
181
182<br />
2. jede sonstige Sammlung personenbezogener <strong>Daten</strong>, die gleichartig aufgebaut ist und nach bestimmten<br />
Merkmalen geordnet, umgeordnet und ausgewertet werden kann (nicht automatisierte Datei).<br />
Nicht hierzu gehören Akten und Aktensammlungen, es sei denn, dass sie durch automatisierte Verfahren umgeordnet<br />
und ausgewertet werden können.<br />
(2) Wird in besonderen Rechtsvorschriften des Bundes der Begriff Akte verwendet, ist Akte jede amtlichen oder<br />
dienstlichen Zwecken dienende Unterlage, die nicht dem Dateibegriff des Absatzes 1 unterfällt; dazu zählen auch Bildund<br />
Tonträger. Nicht hierunter fallen Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen.<br />
(3) Wird in besonderen Rechtsvorschriften des Bundes der Begriff Empfänger verwendet, ist Empfänger jede Person<br />
oder Stelle außerhalb der verantwortlichen Stelle. Empfänger sind nicht der Betroffene sowie Personen und Stellen, die<br />
im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des<br />
Abkommens über den Europäischen Wirtschaftsraum personenbezogene <strong>Daten</strong> im Auftrag erheben, verarbeiten oder<br />
nutzen.<br />
Nichtamtliches Inhaltsverzeichnis<br />
§ 47 Übergangsregelung<br />
Für die Verarbeitung und Nutzung vor dem 1. September 2009 erhobener oder gespeicherter <strong>Daten</strong> ist § 28 in der bis<br />
dahin geltenden Fassung weiter anzuwenden<br />
1. für Zwecke der Markt- oder Meinungsforschung bis zum 31. August 2010,<br />
2. für Zwecke der Werbung bis zum 31. August 2012.<br />
Nichtamtliches Inhaltsverzeichnis<br />
Die Bundesregierung berichtet dem Bundestag<br />
§ 48 Bericht der Bundesregierung<br />
1. bis zum 31. Dezember 2012 über die Auswirkungen der §§ 30a und 42a,<br />
2. bis zum 31. Dezember 2014 über die Auswirkungen der Änderungen der §§ 28 und 29.<br />
Sofern sich aus Sicht der Bundesregierung gesetzgeberische Maßnahmen empfehlen, soll der Bericht einen Vorschlag<br />
enthalten.<br />
Nichtamtliches Inhaltsverzeichnis<br />
Anlage (zu § 9 Satz 1)<br />
(Fundstelle des Originaltextes: BGBl. I 2003, 88;<br />
bzgl. der einzelnen Änderungen vgl. Fußnote)<br />
Werden personenbezogene <strong>Daten</strong> automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche<br />
Organisation so zu gestalten, dass sie den besonderen Anforderungen des <strong>Daten</strong>schutzes gerecht wird. Dabei sind<br />
insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen <strong>Daten</strong> oder<br />
<strong>Daten</strong>kategorien geeignet sind,<br />
1. Unbefugten den Zutritt zu <strong>Daten</strong>verarbeitungsanlagen, mit denen personenbezogene <strong>Daten</strong> verarbeitet oder<br />
genutzt werden, zu verwehren (Zutrittskontrolle),<br />
2. zu verhindern, dass <strong>Daten</strong>verarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),<br />
3. zu gewährleisten, dass die zur Benutzung eines <strong>Daten</strong>verarbeitungssystems Berechtigten ausschließlich auf<br />
die ihrer Zugriffsberechtigung unterliegenden <strong>Daten</strong> zugreifen können, und dass personenbezogene <strong>Daten</strong> bei<br />
der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt<br />
werden können (Zugriffskontrolle),<br />
4. zu gewährleisten, dass personenbezogene <strong>Daten</strong> bei der elektronischen Übertragung oder während ihres<br />
Transports oder ihrer Speicherung auf <strong>Daten</strong>träger nicht unbefugt gelesen, kopiert, verändert oder entfernt<br />
werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung<br />
personenbezogener <strong>Daten</strong> durch Einrichtungen zur <strong>Daten</strong>übertragung vorgesehen ist (Weitergabekontrolle),<br />
5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem<br />
personenbezogene <strong>Daten</strong> in <strong>Daten</strong>verarbeitungssysteme eingegeben, verändert oder entfernt worden sind<br />
(Eingabekontrolle),<br />
6. zu gewährleisten, dass personenbezogene <strong>Daten</strong>, die im Auftrag verarbeitet werden, nur entsprechend den<br />
Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),<br />
7. zu gewährleisten, dass personenbezogene <strong>Daten</strong> gegen zufällige Zerstörung oder Verlust geschützt sind<br />
(Verfügbarkeitskontrolle),<br />
8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene <strong>Daten</strong> getrennt verarbeitet werden können.<br />
Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik<br />
entsprechenden Verschlüsselungsverfahren.<br />
zum Seitenanfang <strong>Daten</strong>schutz<br />
Seite ausdrucken